Details zur integrierten Initiative zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancebereichen und Steuerungen in NIST SP 800-53 Rev. 5 entspricht. Weitere Informationen zu diesem Konformitätsstandard finden Sie unter NIST SP 800-53 Rev. 5. Grundlegendes zum Besitzer finden Sie unter Azure Policy-Richtliniendefinition und Gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerungen unter NIST SP 800-53 Rev. 5. Über den rechten Navigationsbereich können Sie direkt zu einem bestimmten Steuerungsbereich springen. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend nach der integrierten Initiativendefinition zur Einhaltung der gesetzlichen Bestimmungen gemäß NIST SP 800-53 Rev. 5, und wählen Sie sie aus.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

Zugriffssteuerung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AC-1 (1) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1000: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1001: Anforderungen an Richtlinien und Prozeduren für die Zugriffssteuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Kontoverwaltung

ID: NIST SP 800-53 Rev. 5 AC-2 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Veraltete Konten sollten aus Ihrem Abonnement entfernt werden Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 3.0.0
Veraltete Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Besitzerberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Leseberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Externe Konten mit Schreibberechtigungen sollten aus Ihrem Abonnement entfernt werden Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. AuditIfNotExists, Disabled 3.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1002: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1003: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1004: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1005: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1006: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1007: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1008: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1009: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1010: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1011: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1012: Kontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1022: Kontoverwaltung | Stornierung von Anmeldeinformationen von freigegebenen oder Gruppenkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Automatisierte Systemkontoverwaltung

ID: NIST SP 800-53 Rev. 5 AC-2 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1013: Kontoverwaltung | Automatisierte Systemkontoverwaltung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Automatisierte Verwaltung von temporären und Notfallkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (2) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1014: Kontoverwaltung | Entfernen von temporären oder Notfallkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Deaktivieren von Konten

ID: NIST SP 800-53 Rev. 5 AC-2 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1015: Kontoverwaltung | Deaktivieren inaktiver Konten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Automatisierte Überwachung von Aktionen

ID: NIST SP 800-53 Rev. 5 AC-2 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1016: Kontoverwaltung | Automatisierte Überwachungsaktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Abmeldung nach Inaktivität

ID: NIST SP 800-53 Rev. 5 AC-2 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1017: Kontoverwaltung | Abmeldung bei Inaktivität Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Benutzerkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (7) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1018: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1019: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1020: Kontoverwaltung | Rollenbasierte Schemas Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Einschränkungen in Bezug auf die Verwendung von freigegebenen Konten und Gruppenkonten

ID: NIST SP 800-53 Rev. 5 AC-2 (9) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1021: Kontoverwaltung | Einschränkungen bei der Verwendung von freigegebenen oder Gruppenkonten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Nutzungsbedingungen

ID: NIST SP 800-53 Rev. 5 AC-2 (11) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1023: Kontoverwaltung | Bedingungen für die Verwendung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Kontoüberwachung auf atypische Verwendung

ID: NIST SP 800-53 Rev. 5 AC-2 (12) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1024: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1025: Kontoverwaltung | Kontoüberwachung/ungewöhnlich Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Deaktivieren von Konten für Hochrisikopersonen

ID: NIST SP 800-53 Rev. 5 AC-2 (13) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1026: Kontoverwaltung | Deaktivieren von Konten für Hochrisikopersonen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Zugriffserzwingung

ID: NIST SP 800-53 Rev. 5 AC-3 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Linux-Computer überwachen, die Konten ohne Kennwörter verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die über Konten ohne Kennwörter verfügen. AuditIfNotExists, Disabled 3.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1027: Erzwingen des Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0
Speicherkonten sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager für Ihre Speicherkonten, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen für eine einfachere Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0
VMs sollten zu neuen Azure Resource Manager-Ressourcen migriert werden Verwenden Sie den neuen Azure Resource Manager (ARM) für Ihre virtuellen Computer, um von den folgenden Sicherheitsverbesserungen zu profitieren: strengere Zugriffssteuerung (RBAC), bessere Überwachung, ARM-basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresore für Geheimnisse, Azure AD-basierte Authentifizierung und Unterstützung von Tags und Ressourcengruppen zur Vereinfachung der Sicherheitsverwaltung. Audit, Deny, Disabled 1.0.0

Rollenbasierte Zugriffssteuerung

ID: NIST SP 800-53 Rev. 5 AC-3 (7)

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Rollenbasierte Zugriffssteuerung (RBAC) sollte für Kubernetes Service verwendet werden. Um eine granulare Filterung anhand der durch die Benutzer ausführbaren Aktionen zu ermöglichen, verwenden Sie die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC), um Berechtigungen in Kubernetes Service-Clustern zu verwalten und relevante Autorisierungsrichtlinien zu konfigurieren. Audit, Disabled 1.0.2

Erzwingung des Datenflusses

ID: NIST SP 800-53 Rev. 5 AC-4 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden. Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Disabled 1.0.1
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre App erteilen. Erlauben Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. AuditIfNotExists, Disabled 2.0.0
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das Cognitive Services-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des Cognitive Services-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Deny, Disabled 3.0.0
Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden Der Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Cognitive Services-Konto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder an IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 3.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1028: Erzwingung des Datenflusses Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 2.0.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Dynamische Informationsflusssteuerung

ID: NIST SP 800-53 Rev. 5 AC-4 (3)

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0

Filter für Sicherheits- und Datenschutzrichtlinien

ID: NIST SP 800-53 Rev. 5 AC-4 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1029: Erzwingung des Datenflusses | Sicherheitsrichtlinienfilter Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Physische oder logische Trennung von Informationsflüssen

ID: NIST SP 800-53 Rev. 5 AC-4 (21) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1030: Erzwingung des Datenflusses | Physische/logische Trennung von Informationsflows Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Aufgabentrennung

ID: NIST SP 800-53 Rev. 5 AC-5 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1031: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1032: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1033: Aufgabentrennung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. AuditIfNotExists, Disabled 3.0.0

Ansatz der geringsten Rechte

ID: NIST SP 800-53 Rev. 5 AC-6 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1034: Ansatz der geringsten Rechte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Autorisieren des Zugriffs auf Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1035: Ansatz der geringsten Rechte | Autorisieren des Zugriffs auf Sicherheitsfunktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1036: Ansatz der geringsten Rechte | Nicht privilegierter Zugriff auf nicht sicherheitsrelevante Funktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Netzwerkzugriff auf privilegierte Befehle

ID: NIST SP 800-53 Rev. 5 AC-6 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1037: Ansatz der geringsten Rechte | Netzwerkzugriff auf privilegierte Befehle Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Konten

ID: NIST SP 800-53 Rev. 5 AC-6 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1038: Ansatz der geringsten Rechte | Privilegierte Konten Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Überprüfen von Benutzerberechtigungen

ID: NIST SP 800-53 Rev. 5 AC-6 (7) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. AuditIfNotExists, Disabled 3.0.0
Verwendung benutzerdefinierter RBAC-Regeln überwachen Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1039: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1040: Ansatz der geringsten Rechte | Steuerung von Benutzerberechtigungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Berechtigungsebenen für die Ausführung von Code

ID: NIST SP 800-53 Rev. 5 AC-6 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1041: Ansatz der geringsten Rechte | Berechtigungsebenen für die Ausführung von Code Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Protokollieren der Verwendung privilegierter Funktionen

ID: NIST SP 800-53 Rev. 5 AC-6 (9) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1042: Ansatz der geringsten Rechte | Überwachen der Verwendung privilegierter Funktionen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer

ID: NIST SP 800-53 Rev. 5 AC-6 (10) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1043: Ansatz der geringsten Rechte | Unterbinden der Ausführung privilegierter Funktionen durch unberechtigte Benutzer Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Fehlgeschlagene Anmeldeversuche

ID: NIST SP 800-53 Rev. 5 AC-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1044: fehlerhafte Anmeldeversuche Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1045: fehlerhafte Anmeldeversuche Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Mobiles Gerät bereinigen oder zurücksetzen

ID: NIST SP 800-53 Rev. 5 AC-7 (2) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1046: Fehlgeschlagene Anmeldeversuche | Bereinigen / Zurücksetzen mobiler Geräte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Benachrichtigung zur Systemnutzung

ID: NIST SP 800-53 Rev. 5 AC-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1047: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1048: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1049: Benachrichtigung zur Systemnutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Steuerung gleichzeitiger Sitzungen

ID: NIST SP 800-53 Rev. 5 AC-10 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1050: Steuerung gleichzeitiger Sitzungen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Gerätesperre

ID: NIST SP 800-53 Rev. 5 AC-11 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1051: Sitzungssperre Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1052: Sitzungssperre Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Unkenntlichmachung der Anzeige

ID: NIST SP 800-53 Rev. 5 AC-11 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1053: Sitzungssperre | Unkenntlichmachung der Anzeige Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Beendigung der Sitzung

ID: NIST SP 800-53 Rev. 5 AC-12 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1054: Beendigung der Sitzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Vom Benutzer initiierte Abmeldungen

ID: NIST SP 800-53 Rev. 5 AC-12 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1055: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1056: Beendigung der Sitzung | Benutzerseitig eingeleitete Abmeldungen/Meldungsanzeigen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Zulässige Aktionen ohne Identifizierung oder Authentifizierung

ID: NIST SP 800-53 Rev. 5 AC-14 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1057: zulässige Aktionen ohne Identifizierung oder Authentifizierung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1058: zulässige Aktionen ohne Identifizierung oder Authentifizierung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Sicherheits- und Datenschutzattribute

ID: NIST SP 800-53 Rev. 5 AC-16

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2

Remotezugriff

ID: NIST SP 800-53 Rev. 5 AC-17 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden. Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für eine App Service-App. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 3.0.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.1.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.0.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1059: Remotezugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1060: Remotezugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Überwachung und Steuerung

ID: NIST SP 800-53 Rev. 5 AC-17 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden. Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für eine App Service-App. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Linux-Computer überwachen, die Remoteverbindungen über Konten ohne Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, die Remoteverbindungen über Konten ohne Kennwörter zulassen. AuditIfNotExists, Disabled 3.0.0
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.1.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.0.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1061: Remotezugriff | Automatisierte Überwachung/Steuerung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Schutz der Vertraulichkeit und Integrität durch Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-17 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1062: Remotezugriff | Schutz der Vertraulichkeit/Integrität mithilfe von Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Verwaltete Zugriffssteuerungspunkte

ID: NIST SP 800-53 Rev. 5 AC-17 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1063: Remotezugriff | Verwaltete Zugriffssteuerungspunkte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Privilegierte Befehle/Zugriff

ID: NIST SP 800-53 Rev. 5 AC-17 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1064: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1065: Remotezugriff | Privilegierte Befehle/privilegierter Zugriff Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Trennen/Deaktivieren des Zugriffs

ID: NIST SP 800-53 Rev. 5 AC-17 (9) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1066: Remotezugriff | Trennen/Deaktivieren des Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Drahtloser Zugriff

ID: NIST SP 800-53 Rev. 5 AC-18 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1067: Einschränkungen des drahtlosen Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1068: Einschränkungen des drahtlosen Zugriffs Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Authentifizierung und Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-18 (1) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1069: Einschränkungen des drahtlosen Zugriffs | Authentifizierung und Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Deaktivieren von Drahtlosnetzwerken

ID: NIST SP 800-53 Rev. 5 AC-18 (3) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1070: Einschränkungen des drahtlosen Zugriffs | Deaktivieren von Drahtlosnetzwerken Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Beschränken von Konfigurationen durch Benutzer

ID: NIST SP 800-53 Rev. 5 AC-18 (4) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1071: Einschränkungen des drahtlosen Zugriffs | Beschränken von Konfigurationen durch Benutzer Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Antennen/Sendeleistungspegel

ID: NIST SP 800-53 Rev. 5 AC-18 (5) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1072: Einschränkungen des drahtlosen Zugriffs | Antennen/Sendeleistungspegel Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Zugriffssteuerung für mobile Geräte

ID: NIST SP 800-53 Rev. 5 AC-19 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1073: Zugriffssteuerung für tragbare und mobile Systeme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1074: Zugriffssteuerung für tragbare und mobile Systeme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Vollständige geräte-/containerbasierte Verschlüsselung

ID: NIST SP 800-53 Rev. 5 AC-19 (5) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1075: Zugriffssteuerung für mobile Geräte | Vollständige geräte-/containerbasierte Verschlüsselung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.1

Verwenden externer Systeme

ID: NIST SP 800-53 Rev. 5 AC-20 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1076: Verwendung externer Informationssysteme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1077: Verwendung externer Informationssysteme Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Beschränkungen der zulässigen Nutzung

ID: NIST SP 800-53 Rev. 5 AC-20 (1) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1078: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1079: Verwendung externer Informationssysteme | Beschränkungen der zulässigen Nutzung Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Tragbare Speichergeräte Eingeschränkte Nutzung

ID: NIST SP 800-53 Rev. 5 AC-20 (2) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1080: Verwendung externer Informationssysteme | Tragbare Speichergeräte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Gemeinsame Nutzung von Informationen

ID: NIST SP 800-53 Rev. 5 AC-21 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1081: gemeinsame Nutzung von Informationen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1082: gemeinsame Nutzung von Informationen Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Öffentlich zugängliche Inhalte

ID: NIST SP 800-53 Rev. 5 AC-22 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1083: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1084: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1085: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1086: öffentlich zugängliche Inhalte Microsoft implementiert diese Access Control-Steuerung Überwachung 1.0.0

Bewusstsein und Training

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AT-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1087: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1088: Sicherheitsbewusstsein und -schulungen – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Alphabetisierungsschulung und Bewusstsein

ID: NIST SP 800-53 Rev. 5 AT-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1089: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1090: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1091: Sicherheitsbewusstsein Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.1

Insiderbedrohung

ID: NIST SP 800-53 Rev. 5 AT-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1092: Sicherheitsbewusstsein | Bedrohungen von innen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.1

Rollenbasierte Schulungen

ID: NIST SP 800-53 Rev. 5 AT-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1093: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1094: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1095: Rollenbasierte Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Praxisnahe Übungen

ID: NIST SP 800-53 Rev. 5 AT-3 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1096: Rollenbasierte Sicherheitsschulungen | Praxisnahe Übungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Trainingsdatensätze

ID: NIST SP 800-53 Rev. 5 AT-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1098: Datensätze von Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1099: Datensätze von Sicherheitsschulungen Microsoft implementiert diese Steuerung zu Bewusstsein und Schulungen Überwachung 1.0.0

Überwachung und Verantwortlichkeit

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 AU-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1100: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1101: Überwachung und Verantwortlichkeit – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Ereignisprotokollierung

ID: NIST SP 800-53 Rev. 5 AU-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1102: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1103: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1104: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1105: Überwachen von Ereignissen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1106: Überwachen von Ereignissen | Überprüfungen und Updates Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Inhalt der Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 AU-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1107: Inhalt der Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zusätzliche Überwachungsinformationen

ID: NIST SP 800-53 Rev. 5 AU-3 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1108: Inhalt der Überwachungsdatensätze | Zusätzliche Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Speicherkapazität für Überwachungsprotokolle

ID: NIST SP 800-53 Rev. 5 AU-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1110: Speicherkapazität für Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Reaktion auf Fehler beim Überwachungsprotokollierungsprozess

ID: NIST SP 800-53 Rev. 5 AU-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1111: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1112: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Warnung zu Speicherkapazität

ID: NIST SP 800-53 Rev. 5 AU-5 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1113: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Speicherkapazitäten für Überwachungsdatensätze Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Benachrichtigungen in Echtzeit

ID: NIST SP 800-53 Rev. 5 AU-5 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1114: Reaktion auf Verarbeitungsfehler bei Überwachungsinformationen | Benachrichtigungen in Echtzeit Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Prüfung, Analyse und Berichterstellung zum Überwachungsdatensatz

ID: NIST SP 800-53 Rev. 5 AU-6 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1115: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1116: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1123: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Anpassung der Überwachungsebene Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0

Automatisierte Prozessintegration

ID: NIST SP 800-53 Rev. 5 AU-6 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1117: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Prozessintegration Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Korrelieren von Repositorys für Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 AU-6 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1118: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelieren von Überwachungsrepositorys Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zentrale Überprüfung und Analyse

ID: NIST SP 800-53 Rev. 5 AU-6 (4) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1119: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zentrale Überprüfung und Analyse Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein. Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Integrierte Analyse von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-6 (5) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1120: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Integrations-, Scan- und Überwachungsfunktionen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein. Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Korrelation mit der physischen Überwachung

ID: NIST SP 800-53 Rev. 5 AU-6 (6) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1121: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Korrelation mit der physischen Überwachung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zulässige Aktionen

ID: NIST SP 800-53 Rev. 5 AU-6 (7) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1122: Prüfung, Analyse und Berichterstellung in Bezug auf die Überwachung | Zulässige Aktionen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Reduzierung von Überwachungsdatensätzen und Berichterstellung

ID: NIST SP 800-53 Rev. 5 AU-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1124: Überwachungsreduzierung und Berichterstellung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1125: Überwachungsreduzierung und Berichterstellung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Automatische Verarbeitung

ID: NIST SP 800-53 Rev. 5 AU-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1126: Überwachungsreduzierung und Berichterstellung | Automatische Verarbeitung Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zeitstempel

ID: NIST SP 800-53 Rev. 5 AU-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1127: Zeitstempel Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1128: Zeitstempel Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Schutz von Überwachungsinformationen

ID: NIST SP 800-53 Rev. 5 AU-9 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1131: Schutz von Überwachungsinformationen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Speichern auf separaten physischen Systemen oder Komponenten

ID: NIST SP 800-53 Rev. 5 AU-9 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1132: Schutz von Überwachungsinformationen | Sicherung von Überwachungsinformationen auf getrennten physischen Systemen/Komponenten Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 AU-9 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1133: Schutz von Überwachungsinformationen | Kryptografischer Schutz Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Zugriff durch eine Teilmenge berechtigter Benutzer

ID: NIST SP 800-53 Rev. 5 AU-9 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1134: Schutz von Überwachungsinformationen | Zugriff durch eine Teilmenge berechtigter Benutzer Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Unleugbarkeit

ID: NIST SP 800-53 Rev. 5 AU-10 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1135: Unleugbarkeit Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Aufbewahrung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-11 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1136: Aufbewahrung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden Zum Zweck der Untersuchung von Incidents wird empfohlen, die im Rahmen der SQL Server-Überwachung im Speicherkontoziel erfassten Daten für mindestens 90 Tage aufzubewahren. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. AuditIfNotExists, Disabled 3.0.0

Generierung von Überwachungsdatensätzen

ID: NIST SP 800-53 Rev. 5 AU-12 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1137: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1138: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1139: Generierung von Überwachungsdatensätzen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein. Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Systemweiter und zeitkorrelierter Überwachungspfad

ID: NIST SP 800-53 Rev. 5 AU-12 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Für Azure Arc-fähige Kubernetes-Cluster muss die Microsoft Defender für Cloud-Erweiterung installiert sein. Die Microsoft Defender für Cloud-Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-fähigen Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an das Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Linux installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Linux, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Die Log Analytics-Erweiterung sollte auf Ihren Azure Arc-Computern unter Windows installiert sein Diese Richtlinie überwacht Azure Arc-Computer unter Windows, wenn die Log Analytics-Erweiterung nicht installiert ist. AuditIfNotExists, Disabled 1.0.1-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
[Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Windows-Computern installiert werden Security Center verwendet den Microsoft Dependency-Agent, um Daten zum Netzwerkdatenverkehr Ihrer Azure-VMs zu erfassen. Dies ermöglicht die Aktivierung erweiterter Netzwerkschutzfunktionen, darunter die Datenverkehrsvisualisierung in der Netzwerkübersicht sowie Empfehlungen zur Netzwerkhärtung und zu bestimmten Netzwerkbedrohungen. AuditIfNotExists, Disabled 1.0.2-preview
Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 2.0.1
Die Überwachung in SQL Server muss aktiviert werden Die Überwachung für Ihre SQL Server-Instanz sollte aktiviert werden, um Datenbankaktivitäten in allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. AuditIfNotExists, Disabled 2.0.0
Für Ihr Abonnement sollte die automatische Bereitstellung des Log Analytics-Agents aktiviert sein. Azure Security Center sammelt Daten von Ihren Azure-VMs, um diese auf Sicherheitslücken und Bedrohungen zu überwachen. Die Daten werden mit dem Log Analytics-Agent (ehemals Microsoft Monitoring Agent, MMA) gesammelt. Der Agent liest verschiedene sicherheitsrelevante Konfigurationen und Ereignisprotokolle auf dem Computer und kopiert die Daten zur Analyse in den Log Analytics-Arbeitsbereich. Wir empfehlen Ihnen, die automatische Bereitstellung zu aktivieren, damit der Agent auf allen unterstützten und allen neu erstellten Azure-VMs automatisch bereitgestellt wird. AuditIfNotExists, Disabled 1.0.1
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation sind gastinterne Richtlinien verfügbar, z. B. „Windows Defender Exploit Guard muss aktiviert sein“. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.2
Der Log Analytics-Agent muss auf dem virtuellen Computer für Azure Security Center-Überwachung installiert sein Diese Richtlinie überwacht alle virtuellen Windows-/Linux-Computer (Virtual Machines, VMs), wenn der Log Analytics-Agent nicht installiert ist, den Security Center zum Überwachen von Sicherheitsrisiken und Bedrohungen verwendet. AuditIfNotExists, Disabled 1.0.0
Der Log Analytics-Agent muss in den VM-Skalierungsgruppen für Azure Security Center-Überwachung installiert sein Security Center sammelt Daten von Ihren virtuellen Azure-Computern (VMs), um sie hinsichtlich Sicherheitslücken und Bedrohungen zu überwachen. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1140: Generierung von Überwachungsdatensätzen | Systemweiter bzw. zeitlich korrelierter Überwachungspfad Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0
Network Watcher muss aktiviert sein Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf der Ebene von Netzwerkszenarien in Azure überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. AuditIfNotExists, Disabled 3.0.0
In Azure Data Lake Store müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Azure Stream Analytics müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Data Lake Analytics müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Event Hub müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In IoT Hub müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 3.0.1
In Key Vault müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Logic Apps müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Suchdiensten müssen Ressourcenprotokolle aktiviert sein. Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Service Bus müssen Ressourcenprotokolle aktiviert sein Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. AuditIfNotExists, Disabled 5.0.0
In Virtual Machine Scale Sets müssen Ressourcenprotokolle aktiviert sein. Es wird empfohlen, die Protokollierung zu aktivieren. So können Sie Aktivitäten nachvollziehen, wenn bei einem Incident oder einer Beeinträchtigung Untersuchungen durchgeführt werden müssen. AuditIfNotExists, Disabled 2.1.0
VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Virtuelle Azure-Computer im Rahmen dieser Richtlinie sind nicht konform, wenn die Erweiterung „Gastkonfiguration“ auf ihnen installiert ist, sie aber über keine systemseitig zugewiesene verwaltete Identität verfügen. Weitere Informationen finden Sie unter https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.1

Änderungen durch autorisierte Personen

ID: NIST SP 800-53 Rev. 5 AU-12 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1141: Generierung von Überwachungsdatensätzen | Änderungen durch autorisierte Personen Microsoft implementiert diese Steuerung zu Überwachung und Verantwortlichkeit Überwachung 1.0.0

Bewertung, Autorisierung und Überwachung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CA-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1142: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1143: Richtlinien und Prozeduren zur Zertifizierung, Autorisierung und Sicherheitsbewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.1

Steuerelementbewertungen

ID: NIST SP 800-53 Rev. 5 CA-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1144: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1145: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1146: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1147: Sicherheitsbewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängige Gutachter

ID: NIST SP 800-53 Rev. 5 CA-2 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1148: Sicherheitsbewertungen | Unabhängige Gutachter Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Spezialisierte Bewertungen

ID: NIST SP 800-53 Rev. 5 CA-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1149: Sicherheitsbewertungen | Spezialisierte Bewertungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Nutzen von Ergebnissen externer Organisationen

ID: NIST SP 800-53 Rev. 5 CA-2 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1150: Sicherheitsbewertungen | Externe Organisationen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Informationsaustausch

ID: NIST SP 800-53 Rev. 5 CA-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1151: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1152: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1153: Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Aktions- und Meilensteinplan

ID: NIST SP 800-53 Rev. 5 CA-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1156: Aktions- und Meilensteinplan Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1157: Aktions- und Meilensteinplan Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Authorization

ID: NIST SP 800-53 Rev. 5 CA-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1158: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1159: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1160: Sicherheitsautorisierung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Kontinuierliche Überwachung

ID: NIST SP 800-53 Rev. 5 CA-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1161: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1162: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1163: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1164: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1165: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1166: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1167: kontinuierliche Überwachung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängige Bewertung

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1168: kontinuierliche Überwachung | Unabhängige Bewertung Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängige Bewertung

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1169: kontinuierliche Überwachung | Trendanalyse Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Penetrationstests

ID: NIST SP 800-53 Rev. 5 CA-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1170: Penetrationstests Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Unabhängiger Dienstleister oder Team für Penetrationstests

ID: NIST SP 800-53 Rev. 5 CA-8 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1171: Penetrationstests | Unabhängiger Dienstleister oder Team für Penetrationstests Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Interne Systemverbindungen

ID: NIST SP 800-53 Rev. 5 CA-9 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1172: interne Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1173: interne Systemverbindungen Microsoft implementiert diese Steuerung zur Sicherheitsbewertung und Autorisierung Überwachung 1.0.0

Konfigurationsverwaltung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CM-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1174: Konfigurationsverwaltung – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1175: Konfigurationsverwaltung – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Baselinekonfiguration

ID: NIST SP 800-53 Rev. 5 CM-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1176: Baselinekonfiguration Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1177: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1178: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1179: Baselinekonfiguration | Überprüfungen und Updates Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierungsunterstützung zur Steigerung der Genauigkeit/Aktualität

ID: NIST SP 800-53 Rev. 5 CM-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1180: Baselinekonfiguration | Automatisierungsunterstützung zur Steigerung der Genauigkeit/Währung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Beibehaltung von vorherigen Konfigurationen

ID: NIST SP 800-53 Rev. 5 CM-2 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1181: Baselinekonfiguration | Beibehaltung von vorherigen Konfigurationen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurieren von Systemen und Komponenten für Gebiete mit hohem Risiko

ID: NIST SP 800-53 Rev. 5 CM-2 (7) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1182: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1183: Baselinekonfiguration | Konfigurieren von Systemen, Komponenten und Geräten für Gebiete mit hohem Risiko Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Steuerung von Konfigurationsänderungen

ID: NIST SP 800-53 Rev. 5 CM-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1184: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1185: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1186: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1187: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1188: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1189: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1190: Steuerung von Konfigurationsänderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Dokumentation, Benachrichtigung und Verbot von Änderungen

ID: NIST SP 800-53 Rev. 5 CM-3 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1191: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1192: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1193: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1194: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1195: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1196: Steuerung von Konfigurationsänderungen | Automatisierte Mechanismen zu Dokumentations-, Benachrichtigungs- und Änderungsverboten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Testen, Überprüfen und Dokumentation von Änderungen

ID: NIST SP 800-53 Rev. 5 CM-3 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1197: Steuerung von Konfigurationsänderungen | Testen, Überprüfen und Dokumentieren von Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Sicherheits- und Datenschutzbeauftragte

ID: NIST SP 800-53 Rev. 5 CM-3 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1198: Steuerung von Konfigurationsänderungen | Sicherheitsbeauftragter Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Verwaltung von kryptografischen Mechanismen

ID: NIST SP 800-53 Rev. 5 CM-3 (6) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1199: Steuerung von Konfigurationsänderungen | Verwaltung von kryptografischen Mechanismen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Auswirkungenanalysen

ID: NIST SP 800-53 Rev. 5 CM-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1200: Analyse der Auswirkungen auf die Sicherheit Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Trennen von Testumgebungen

ID: NIST SP 800-53 Rev. 5 CM-4 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1201: Analyse der Auswirkungen auf die Sicherheit | Trennen von Testumgebungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Zugriffseinschränkungen für Änderungen

ID: NIST SP 800-53 Rev. 5 CM-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1202: Zugriffseinschränkungen für Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Zugriffserzwingung und Überwachungsdatensätze

ID: NIST SP 800-53 Rev. 5 CM-5 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1203: Zugriffseinschränkungen für Änderungen | Automatisierte Zugriffserzwingung und Überwachung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Berechtigungsbeschränkung für Produktion und Betrieb

ID: NIST SP 800-53 Rev. 5 CM-5 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1206: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1207: Zugriffseinschränkungen für Änderungen | Beschränken von Berechtigungen in Bezug auf Produktion/Betrieb Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurationseinstellungen

ID: NIST SP 800-53 Rev. 5 CM-6 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
App Service-Apps sollten „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert haben Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Audit, Disabled 2.0.0
Bei App Service-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für eine App Service-App. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre App erteilen. Erlauben Sie nur erforderlichen Domänen die Interaktion mit Ihrer App. AuditIfNotExists, Disabled 2.0.0
Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) muss auf Ihren Clustern installiert und aktiviert sein. Das Azure Policy-Add-On für den Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen OPA-Webhook (Open Policy Agent) für die Zugangssteuerung, um umfassende Durchsetzungen und Schutzvorrichtungen für Ihre Cluster zentral und konsistent anzuwenden. Audit, Disabled 1.0.2
Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Audit, Disabled 2.0.0
Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein Remotedebuggen erfordert die Öffnung eingehender Ports für Funktions-Apps. Das Remotedebuggen muss deaktiviert werden. AuditIfNotExists, Disabled 2.0.0
Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. AuditIfNotExists, Disabled 2.0.0
CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.0.0
Container im Kubernetes-Cluster dürfen den Namespace für Hostprozess-ID oder Host-IPC nicht freigeben Hiermit wird verhindert, dass Podcontainer die Namespaces für Hostprozess-ID und Host-IPC in einem Kubernetes-Cluster freigeben. Diese Empfehlung ist Bestandteil von CIS 5.2.2 und CIS 5.2.3, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 4.0.1
Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.0
Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.1
Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.0.0
Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.0
Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.1
Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Empfehlung ist Teil der Podsicherheitsrichtlinien, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.2
Pods im Kubernetes-Cluster dürfen nur genehmigte Hostnetzwerke und Portbereiche verwenden Schränken Sie den Podzugriff auf das Hostnetzwerk und den zulässigen Hostportbereich in einem Kubernetes-Cluster ein. Diese Empfehlung ist Teil von CIS 5.2.4, um die Sicherheit Ihrer Kubernetes-Umgebungen zu verbessern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 5.0.0
Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 7.0.0
Kubernetes-Cluster dürfen keine privilegierten Container zulassen Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 8.0.0
Kubernetes-Cluster dürfen keine Rechteausweitung zulassen Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist für Kubernetes Service (AKS) allgemein verfügbar und steht für AKS Engine und Kubernetes mit Azure Arc-Unterstützung als Vorschauversion zur Verfügung. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 6.0.1
Linux-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen. Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1208: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1209: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1210: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1211: Konfigurationseinstellungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Windows-Computer müssen die Anforderungen der Azure Compute-Sicherheitsbaseline erfüllen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Compute-Sicherheitsbaseline nicht richtig konfiguriert ist. AuditIfNotExists, Disabled 2.0.0

Automatisierte Verwaltung, Anwendung und Überprüfung

ID: NIST SP 800-53 Rev. 5 CM-6 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1212: Konfigurationseinstellungen | Automatisierte zentrale Verwaltung, Anwendung und Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Reaktion auf nicht autorisierte Änderungen

ID: NIST SP 800-53 Rev. 5 CM-6 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1213: Konfigurationseinstellungen | Reaktion auf nicht autorisierte Änderungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Mindestfunktionalität

ID: NIST SP 800-53 Rev. 5 CM-7 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Von Microsoft verwaltete Steuerung 1214: Mindestfunktionalität Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1215: Mindestfunktionalität Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Regelmäßige Überprüfung

ID: NIST SP 800-53 Rev. 5 CM-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1216: Mindestfunktionalität | Regelmäßige Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1217: Mindestfunktionalität | Regelmäßige Überprüfung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Programmausführung verhindern

ID: NIST SP 800-53 Rev. 5 CM-7 (2) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1218: Mindestfunktionalität | Unterbinden der Programmausführung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Autorisierte Software Ausnahmsweise zulassen

ID: NIST SP 800-53 Rev. 5 CM-7 (5) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1219: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1220: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1221: Mindestfunktionalität | Autorisierte Software und Whitelists Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Komponentenbestand des Systems

ID: NIST SP 800-53 Rev. 5 CM-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1222: Komponentenbestand des Informationssystems Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1223: Komponentenbestand des Informationssystems Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1229: Komponentenbestand des Informationssystems | Vermeidung einer doppelten Kontoverwaltung für Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Updates bei Installationen und Entfernungen

ID: NIST SP 800-53 Rev. 5 CM-8 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1224: Komponentenbestand des Informationssystems | Updates bei Installationen und Entfernungen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Wartung

ID: NIST SP 800-53 Rev. 5 CM-8 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1225: Komponentenbestand des Informationssystems | Automatisierte Wartung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Automatisierte Erkennung von nicht autorisierten Komponenten

ID: NIST SP 800-53 Rev. 5 CM-8 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1226: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1227: Komponentenbestand des Informationssystems | Automatisierte Erkennung von nicht autorisierten Komponenten Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1241: von Benutzern installierte Software | Benachrichtigungen zu nicht autorisierten Installationen Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Informationen zur Verantwortlichkeit

ID: NIST SP 800-53 Rev. 5 CM-8 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1228: Komponentenbestand des Informationssystems | Informationen zur Verantwortlichkeit Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Konfigurationsverwaltungsplan

ID: NIST SP 800-53 Rev. 5 CM-9 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1230: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1231: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1232: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1233: Konfigurationsverwaltungsplan Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Einschränkungen für die Softwarenutzung

ID: NIST SP 800-53 Rev. 5 CM-10 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1234: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1235: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1236: Einschränkungen für die Softwarenutzung Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Open-Source-Software

ID: NIST SP 800-53 Rev. 5 CM-10 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1237: Einschränkungen für die Softwarenutzung | Open-Source-Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Von Benutzern installierte Software

ID: NIST SP 800-53 Rev. 5 CM-11 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Adaptive Anwendungssteuerung zum Definieren sicherer Anwendungen muss auf Computern aktiviert sein Hiermit wird die Anwendungssteuerung aktiviert, um die Liste der als sicher bekannten Anwendungen zu definieren, die auf Ihren Computern ausgeführt werden. Außerdem werden Sie bei Ausführung anderer Anwendungen benachrichtigt. Dies verstärkt den Schutz Ihrer Computer vor Schadsoftware. Um die Konfiguration und Wartung Ihrer Regeln zu vereinfachen, nutzt Security Center Machine Learning, um die auf den einzelnen Computern ausgeführten Anwendungen zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. AuditIfNotExists, Disabled 3.0.0
Zulassungslistenregeln in der Richtlinie für die adaptive Anwendungssteuerung müssen aktualisiert werden Überwachen Sie die Verhaltensänderungen für Computergruppen, die für die Überwachung durch die adaptive Anwendungssteuerung von Azure Security Center konfiguriert sind. Security Center nutzt Machine Learning, um die ausgeführten Prozesse auf Ihren Computern zu analysieren und eine Liste der als sicher bekannten Anwendungen vorzuschlagen. Diese werden als zuzulassende Apps in den Richtlinien für die adaptive Anwendungssteuerung empfohlen. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1238: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1239: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1240: von Benutzern installierte Software Microsoft implementiert diese Steuerung zur Konfigurationsverwaltung Überwachung 1.0.0

Notfallplanung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 CP-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1242: Notfallplanungsrichtlinie und -verfahren Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1243: Notfallplanungsrichtlinie und -verfahren Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Notfallplan

ID: NIST SP 800-53 Rev. 5 CP-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1244: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1245: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1246: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1247: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1248: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1249: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1250: Notfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-2 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1251: Notfallplan | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Capacity Planning

ID: NIST SP 800-53 Rev. 5 CP-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1252: Notfallplan | Kapazitätsplanung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 5 CP-2 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1253: Notfallplan | Wiederaufnehmen wesentlicher Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1254: Notfallplan | Wiederaufnehmen aller Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen

ID: NIST SP 800-53 Rev. 5 CP-2 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1255: Notfallplan | Aufrechterhalten wesentlicher Organisationsziele/Geschäftsfunktionen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Identifizieren kritischer Ressourcen

ID: NIST SP 800-53 Rev. 5 CP-2 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1256: Notfallplan | Identifizieren kritischer Ressourcen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Schulungen zu Notfallplänen

ID: NIST SP 800-53 Rev. 5 CP-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1257: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1258: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1259: Schulungen zu Notfallplänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 5 CP-3 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1260: Schulungen zu Notfallplänen | Simulierte Ereignisse Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Notfallplantests

ID: NIST SP 800-53 Rev. 5 CP-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1261: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1262: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1263: Notfallplantests Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 CP-4 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1264: Notfallplantests | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 5 CP-4 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1265: Notfallplantests | Alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1266: Notfallplantests | Alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Speicherort

ID: NIST SP 800-53 Rev. 5 CP-6 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1267: alternativer Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1268: alternativer Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 5 CP-6 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundanter Speicher muss für Speicherkonten aktiviert sein Georedundanz zum Erstellen hoch verfügbarer Anwendungen verwenden Audit, Disabled 1.0.0
Langfristige georedundante Sicherung muss für Azure SQL-Datenbank aktiviert sein Diese Richtlinie überwacht alle Azure SQL-Datenbank-Instanzen mit nicht aktivierter langfristiger georedundanter Sicherung. AuditIfNotExists, Disabled 2.0.0
Von Microsoft verwaltete Steuerung 1269: alternativer Speicherstandort | Trennung vom primären Standort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellungszeit und -punktziele

ID: NIST SP 800-53 Rev. 5 CP-6 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1270: alternativer Speicherstandort | Wiederherstellungszeit/Punktziele Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zugriff

ID: NIST SP 800-53 Rev. 5 CP-6 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1271: alternativer Speicherstandort | Barrierefreiheit Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Alternativer Verarbeitungsstandort

ID: NIST SP 800-53 Rev. 5 CP-7 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
VMs überwachen, für die keine Notfallwiederherstellung konfiguriert ist Hiermit werden VMs überwacht, für die keine Notfallwiederherstellung konfiguriert ist. Weitere Informationen zur Notfallwiederherstellung finden Sie unter https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Von Microsoft verwaltete Steuerung 1272: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1273: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1274: alternativer Verarbeitungsstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung vom primären Standort

ID: NIST SP 800-53 Rev. 5 CP-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1275: alternativer Verarbeitungsstandort | Trennung vom primären Standort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zugriff

ID: NIST SP 800-53 Rev. 5 CP-7 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1276: alternativer Verarbeitungsstandort | Barrierefreiheit Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Dienstpriorität

ID: NIST SP 800-53 Rev. 5 CP-7 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1277: alternativer Verarbeitungsstandort | Dienstpriorität Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Vorbereitung der Verwendung

ID: NIST SP 800-53 Rev. 5 CP-7 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1278: alternativer Verarbeitungsstandort | Vorbereitung der Verwendung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Telekommunikationsdienste

ID: NIST SP 800-53 Rev. 5 CP-8 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1279: Telekommunikationsdienste Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Priorität von Dienstbereitstellungen

ID: NIST SP 800-53 Rev. 5 CP-8 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1280: Telekommunikationsdienste | Priorität von Dienstbereitstellungen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1281: Telekommunikationsdienste | Priorität von Dienstbereitstellungen Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Single Points of Failure

ID: NIST SP 800-53 Rev. 5 CP-8 (2) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1282: Telekommunikationsdienste | Single Points of Failure Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Trennung von primären/alternativen Anbietern

ID: NIST SP 800-53 Rev. 5 CP-8 (3) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1283: Telekommunikationsdienste | Trennung von primären/alternativen Anbietern Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Anbieternotfallplan

ID: NIST SP 800-53 Rev. 5 CP-8 (4) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1284: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1285: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1286: Telekommunikationsdienste | Anbieternotfallplan Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Systemsicherung

ID: NIST SP 800-53 Rev. 5 CP-9 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Backup muss für Virtual Machines aktiviert sein. Schützen Sie Ihre Azure Virtual Machines-Instanzen, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Lösung zum Schutz von Daten für Azure. AuditIfNotExists, Disabled 3.0.0
Georedundante Sicherung muss für Azure Database for MariaDB aktiviert sein Mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for MySQL aktiviert sein Mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Georedundante Sicherung muss für Azure Database for PostgreSQL aktiviert sein Mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. Audit, Disabled 1.0.1
Für Schlüsseltresore sollte der Löschschutz aktiviert sein. Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Ein böswilliger Insider in Ihrer Organisation kann möglicherweise Schlüsseltresore löschen oder bereinigen. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder von Microsoft kann Ihre Schlüsseltresore während des Aufbewahrungszeitraums für vorläufiges Löschen löschen. Audit, Deny, Disabled 2.0.0
Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. Audit, Deny, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1287: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1288: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1289: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1290: Sicherung des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Zuverlässigkeits-/Integritätstests

ID: NIST SP 800-53 Rev. 5 CP-9 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1291: Sicherung des Informationssystems | Zuverlässigkeits-/Integritätstest Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellungstests mithilfe von Stichproben

ID: NIST SP 800-53 Rev. 5 CP-9 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1292: Sicherung des Informationssystems | Wiederherstellungstests mithilfe von Stichproben Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Separater Speicher für kritische Daten

ID: NIST SP 800-53 Rev. 5 CP-9 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1293: Sicherung des Informationssystems | Separater Speicher für kritische Daten Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Übertragung an den alternativen Speicherstandort

ID: NIST SP 800-53 Rev. 5 CP-9 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1294: Sicherung des Informationssystems | Übertragung an den alternativen Speicherstandort Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellung und Wiederinbetriebnahme des Systems

ID: NIST SP 800-53 Rev. 5 CP-10 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1295: Wiederherstellung und Wiederinbetriebnahme des Informationssystems Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Transaktionswiederherstellung

ID: NIST SP 800-53 Rev. 5 CP-10 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1296: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Transaktionswiederherstellung Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Wiederherstellung innerhalb eines Zeitraums

ID: NIST SP 800-53 Rev. 5 CP-10 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1297: Wiederherstellung und Wiederinbetriebnahme des Informationssystems | Wiederherstellung innerhalb eines Zeitraums Microsoft implementiert diese Steuerung zur Notfallplanung Überwachung 1.0.0

Identifizierung und Authentifizierung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 IA-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1298: Identifikation, Authentifizierung und Verfahren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1299: Identifikation, Authentifizierung und Verfahren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Identifikation und Authentifizierung (Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 5 IA-2 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1300: Identifikation und Authentifizierung von Benutzern Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Mehrstufige Authentifizierung für privilegierte Konten

ID: NIST SP 800-53 Rev. 5 IA-2 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Für Konten mit Schreibberechtigungen für Ihr Abonnement muss MFA aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Schreibrechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
MFA sollte für Konten mit Besitzerberechtigungen in Ihrem Abonnement aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Besitzerberechtigungen aktiviert werden, um eine Sicherheitsverletzung für Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1301: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1303: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Mehrstufige Authentifizierung für nicht privilegierte Konten

ID: NIST SP 800-53 Rev. 5 IA-2 (2) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
MFA sollte für Ihre Abonnementkonten mit Leseberechtigungen aktiviert sein MFA (Multi-Factor Authentication) muss für alle Abonnementkonten mit Leserechten aktiviert sein, um eine Sicherheitsverletzung von Konten oder Ressourcen zu verhindern. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1302: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1304: Identifizierung und Authentifizierung von Benutzern | Lokaler Zugriff auf nicht privilegierte Konten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Individuelle Authentifizierung mit Gruppenauthentifizierung

ID: NIST SP 800-53 Rev. 5 IA-2 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1305: Identifizierung und Authentifizierung von Benutzern | Gruppenauthentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Zugriff auf Konten Replay-Widerstand

ID: NIST SP 800-53 Rev. 5 IA-2 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1306: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf privilegierte Konten – Replay... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1307: Identifizierung und Authentifizierung von Benutzern | Netzwerkzugriff auf nicht privilegierte Konten Replay... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Akzeptieren von PIV-Anmeldeinformationen

ID: NIST SP 800-53 Rev. 5 IA-2 (12) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1309: Identifizierung und Authentifizierung von Benutzern | Akzeptieren von PIV-Anmeldeinformationen Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Identifikation und Authentifizierung von Geräten

ID: NIST SP 800-53 Rev. 5 IA-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1310: Identifikation und Authentifizierung von Geräten Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Bezeichnerverwaltung

ID: NIST SP 800-53 Rev. 5 IA-4 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Ein Azure Active Directory-Administrator sollte für SQL Server-Instanzen bereitgestellt werden Hiermit wird die Bereitstellung eines Azure Active Directory-Administrators für Ihre SQL Server-Instanz überwacht, um die Azure AD-Authentifizierung zu aktivieren. Die Azure AD-Authentifizierung vereinfacht die Berechtigungsverwaltung und ermöglicht eine zentrale Identitätsverwaltung für Datenbankbenutzer und andere Microsoft-Dienste. AuditIfNotExists, Disabled 1.0.0
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Für Cognitive Services-Konten sollten lokale Authentifizierungsmethoden deaktiviert sein Durch das Deaktivieren lokaler Authentifizierungsmethoden verbessert sich die Sicherheit, weil hierdurch sichergestellt wird, dass Cognitive Services-Konten ausschließlich Azure Active Directory-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/cs/auth. Audit, Deny, Disabled 1.0.0
Funktions-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1311: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1312: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1313: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1314: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1315: Bezeichnerverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Service Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden Hiermit wird überwacht, ob die Clientauthentifizierung in Service Fabric ausschließlich über Azure Active Directory erfolgt. Audit, Deny, Disabled 1.1.0

Identifizieren des Benutzerstatus

ID: NIST SP 800-53 Rev. 5 IA-4 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1316: Bezeichnerverwaltung | Identifizieren des Benutzerstatus Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifikatorverwaltung

ID: NIST SP 800-53 Rev. 5 IA-5 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen. Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 2.2.0-preview
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 3.0.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 2.0.0
Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem virtuellen Azure-Computer unter Linux über SSH besteht in der Verwendung eines Schlüsselpaars aus öffentlichem und privatem Schlüssel (SSH-Schlüssel). Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.0.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Key Vault-Schlüssel sollten ein Ablaufdatum aufweisen. Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Key Vault-Geheimnisse sollten ein Ablaufdatum aufweisen. Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. Audit, Deny, Disabled 1.0.2
Von Microsoft verwaltete Steuerung 1317: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1318: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1319: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1320: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1321: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1322: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1323: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1324: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1325: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1326: Authentifikatorverwaltung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Kennwortbasierte Authentifizierung

ID: NIST SP 800-53 Rev. 5 IA-5 (1) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs ohne Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden, aber keine verwaltete Identität aufweisen. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Systemseitig zugewiesene verwaltete Identität hinzufügen, um Gastkonfigurationszuweisungen auf VMs mit einer benutzerseitig zugewiesenen Identität zu aktivieren Mit dieser Richtlinie wird eine systemseitig zugewiesene verwaltete Identität für in Azure gehostete VMs hinzugefügt, die durch die Gastkonfiguration unterstützt werden und mindestens eine benutzerseitig zugewiesene verwaltete Identität aufweisen, aber keine systemseitig zugewiesene verwaltete Identität. Eine systemseitig zugewiesene verwaltete Identität ist eine Voraussetzung für alle Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. modify 4.0.0
Linux-Computer überwachen, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Linux-Computer handelt, bei denen die passwd-Dateiberechtigungen nicht auf 0644 festgelegt sind. AuditIfNotExists, Disabled 3.0.0
Windows-Computer überwachen, die eine Wiederverwendung der vorherigen 24 Kennwörter zulassen Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die eine Wiederverwendung der vorherigen 24 Kennwörter zulassen. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, für die kein maximales Kennwortalter von 70 Tagen gilt Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die kein maximales Kennwortalter von 70 Tagen gilt. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, die kein Mindestkennwortalter von einem Tag verwenden Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die kein Mindestkennwortalter von einem Tag verwenden. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, auf denen nicht die Einstellung für die Kennwortkomplexität aktiviert ist. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, für die keine Mindestkennwortlänge von 14 Zeichen festgelegt ist Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, für die keine Mindestkennwortlänge von 14 Zeichen festgelegt ist. AuditIfNotExists, Disabled 2.0.0
Windows-Computer überwachen, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer werden als nicht konform eingestuft, wenn es sich um Windows-Computer handelt, die Kennwörter nicht mit umkehrbarer Verschlüsselung speichern. AuditIfNotExists, Disabled 2.0.0
Erweiterung für die Linux-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Linux-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Linux-Gastkonfiguration für in Azure gehostete Linux-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Linux-Gastkonfiguration ist eine Voraussetzung für alle Linux-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Linux-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 3.0.0
Erweiterung für die Windows-Gastkonfiguration bereitstellen, um Gastkonfigurationszuweisungen für Windows-VMs zu aktivieren Mit dieser Richtlinie wird die Erweiterung für die Windows-Gastkonfiguration für in Azure gehostete Windows-VMs bereitgestellt, die durch die Gastkonfiguration unterstützt werden. Die Erweiterung für die Windows-Gastkonfiguration ist eine Voraussetzung für alle Windows-Gastkonfigurationszuweisungen und muss auf den Computern bereitgestellt werden, bevor eine Richtliniendefinition der Windows-Gastkonfiguration verwendet werden kann. Weitere Informationen zur Gastkonfiguration finden Sie unter https://aka.ms/gcpol. deployIfNotExists 1.2.0
Von Microsoft verwaltete Steuerung 1327: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1328: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1329: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1330: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1331: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1332: Authentifikatorverwaltung | Kennwortbasierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1338: Authentifikatorverwaltung | Automatisierte Unterstützung zum Bestimmen der Kennwortsicherheit Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifizierung basierend auf dem öffentlichen Schlüssel

ID: NIST SP 800-53 Rev. 5 IA-5 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1333: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1334: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1335: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1336: Authentifikatorverwaltung | PKI-basierte Authentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Schutz von Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (6) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1339: Authentifikatorverwaltung | Schutz von Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Keine Einbettung unverschlüsselter statischer Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (7) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1340: Authentifikatorverwaltung | Keine Einbettung unverschlüsselter statischer Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Konten auf mehreren Systemen

ID: NIST SP 800-53 Rev. 5 IA-5 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1341: Authentifikatorverwaltung | Konten auf mehreren Informationssystemen Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Ablauf zwischengespeicherter Authentifikatoren

ID: NIST SP 800-53 Rev. 5 IA-5 (13) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1343: Authentifikatorverwaltung | Ablauf zwischengespeicherter Authentifikatoren Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Authentifizierungsfeedback

ID: NIST SP 800-53 Rev. 5 IA-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1344: Authentifikatorrückmeldung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Kryptografiemodulauthentifizierung

ID: NIST SP 800-53 Rev. 5 IA-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1345: Kryptografiemodulauthentifizierung Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Identifikation und Authentifizierung (Nicht-Organisationsbenutzer)

ID: NIST SP 800-53 Rev. 5 IA-8 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1346: Identifikation und Authentifizierung (Nicht-Organisationsbenutzer) Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.0

Akzeptieren von PIV-Anmeldeinformationen von anderen Behörden

ID: NIST SP 800-53 Rev. 5 IA-8 (1) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1347: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptieren von PIV-Anmeldeinformationen... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Akzeptanz externer Authentifikaktoren

ID: NIST SP 800-53 Rev. 5 IA-8 (2) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1348: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Akzeptanz von Drittparteien... Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1349: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM genehmigter Produkte Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Verwendung von definierten Profilen

ID: NIST SP 800-53 Rev. 5 IA-8 (4) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1350: Identifizierung und Authentifizierung (Nicht-Organisationsbenutzer) | Nutzung von durch FICAM ausgegebener Profile Microsoft implementiert diese Steuerung zu Identifikation und Authentifizierung Überwachung 1.0.1

Reaktion auf Vorfälle

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 IR-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1351: Reaktion auf Vorfälle – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1352: Reaktion auf Vorfälle – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Schulung zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1353: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1354: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1355: Schulung zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Simulierte Ereignisse

ID: NIST SP 800-53 Rev. 5 IR-2 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1356: Schulung zur Reaktion auf Vorfälle | Simulierte Ereignisse Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierte Schulungsumgebungen

ID: NIST SP 800-53 Rev. 5 IR-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1357: Schulung zur Reaktion auf Vorfälle | Automatisierte Schulungsumgebungen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Tests zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1358: Tests zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-3 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1359: Tests zur Reaktion auf Vorfälle | Koordination mit zugehörigen Plänen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-4 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1360: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1361: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1362: Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Prozesse zur Behandlung von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-4 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1363: Behandlung von Vorfällen | Automatisierte Prozesse zur Behandlung von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Dynamische Neukonfiguration

ID: NIST SP 800-53 Rev. 5 IR-4 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1364: Behandlung von Vorfällen | Dynamische Neukonfiguration Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Fortsetzung von Vorgängen

ID: NIST SP 800-53 Rev. 5 IR-4 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1365: Behandlung von Vorfällen | Fortsetzung von Vorgängen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Korrelation von Informationen

ID: NIST SP 800-53 Rev. 5 IR-4 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1366: Behandlung von Vorfällen | Korrelation von Informationen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Bedrohungen von innen

ID: NIST SP 800-53 Rev. 5 IR-4 (6) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1367: Behandlung von Vorfällen | Insiderbedrohungen – spezielle Methoden Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Korrelation mit externen Organisationen

ID: NIST SP 800-53 Rev. 5 IR-4 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1368: Behandlung von Vorfällen | Korrelation mit externen Organisationen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Überwachen von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-5 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
Microsoft Defender für Container sollte aktiviert sein Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1369: Überwachen von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Automatisierte Nachverfolgung, Datensammlung und Analyse

ID: NIST SP 800-53 Rev. 5 IR-5 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1370: Überwachung von Vorfällen | Automatisierte Nachverfolgung, Datensammlung und Analyse Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Melden von Vorfällen

ID: NIST SP 800-53 Rev. 5 IR-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1371: Melden von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1372: Melden von Vorfällen Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierte Meldung

ID: NIST SP 800-53 Rev. 5 IR-6 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1373: Melden von Vorfällen | Automatisierte Meldung Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

ID: NIST SP 800-53 Rev. 5 IR-6 (2)

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1
E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 2.0.0
In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. AuditIfNotExists, Disabled 1.0.1

Unterstützung bei der Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1374: Unterstützung bei der Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support

ID: NIST SP 800-53 Rev. 5 IR-7 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1375: Unterstützung bei der Reaktion auf Vorfälle | Automatisierung des Supports zur Sicherstellung der Verfügbarkeit von Informationen und Support Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Koordination mit externen Anbietern

ID: NIST SP 800-53 Rev. 5 IR-7 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1376: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1377: Unterstützung bei der Reaktion auf Vorfälle | Koordination mit externen Anbietern Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Plan zur Reaktion auf Vorfälle

ID: NIST SP 800-53 Rev. 5 IR-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1378: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1379: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1380: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1381: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1382: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1383: Plan zur Reaktion auf Vorfälle Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Reaktion auf Informationslecks

ID: NIST SP 800-53 Rev. 5 IR-9 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1384: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1385: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1386: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1387: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1388: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1389: Reaktion auf Informationslecks Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1390: Reaktion auf Informationslecks | Zuständiges Personal Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Training

ID: NIST SP 800-53 Rev. 5 IR-9 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1391: Reaktion auf Informationslecks | Schulung Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Vorgänge nach einem Leck

ID: NIST SP 800-53 Rev. 5 IR-9 (3) Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1392: Reaktion auf Informationslecks | Vorgänge nach einem Leck Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Offenlegung gegenüber unbefugtem Personal

ID: NIST SP 800-53 Rev. 5 IR-9 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1393: Reaktion auf Informationslecks | Offenlegung gegenüber unbefugtem Personal Microsoft implementiert diese Steuerung zur Reaktion auf Vorfälle Überwachung 1.0.0

Wartung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 MA-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1394: Systemwartung – Richtlinien und Verfahren Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1395: Systemwartung – Richtlinien und Verfahren Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Kontrollierte Wartung

ID: NIST SP 800-53 Rev. 5 MA-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1396: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1397: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1398: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1399: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1400: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1401: kontrollierte Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Automatisierte Wartungsaktivitäten

ID: NIST SP 800-53 Rev. 5 MA-2 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1402: kontrollierte Wartung | Automatisierte Wartungsaktivitäten Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1403: kontrollierte Wartung | Automatisierte Wartungsaktivitäten Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Wartungswerkzeuge

ID: NIST SP 800-53 Rev. 5 MA-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1404: Wartungswerkzeuge Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Überprüfen der Werkzeuge

ID: NIST SP 800-53 Rev. 5 MA-3 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1405: Wartungstools | Überprüfen der Tools Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Überprüfen von Medien

ID: NIST SP 800-53 Rev. 5 MA-3 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1406: Wartungstools | Überprüfen von Medien Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Vermeidung einer unbefugten Entfernung

ID: NIST SP 800-53 Rev. 5 MA-3 (3) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1407: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1408: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1409: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1410: Wartungstools | Vermeidung einer unbefugten Entfernung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Nichtlokale Wartung

ID: NIST SP 800-53 Rev. 5 MA-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1411: Wartung per Remote-Zugriff Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1412: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1413: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1414: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1415: Remote-Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1

Vergleichbares Sicherheits- und Bereinigungssystem

ID: NIST SP 800-53 Rev. 5 MA-4 (3) Ownership: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1417: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1418: Remote-Wartung | Vergleichbares Sicherheits- bzw. Bereinigungssystem Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1

Kryptografischer Schutz

ID: NIST SP 800-53 Rev. 5 MA-4 (6) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1419: Remote-Wartung | Kryptografischer Schutz Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.1

Wartungsmitarbeiter

ID: NIST SP 800-53 Rev. 5 MA-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1420: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1421: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1422: Wartungsmitarbeiter Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Mitarbeiter ohne entsprechende Zugangsberechtigungen

ID: NIST SP 800-53 Rev. 5 MA-5 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1423: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1424: Wartungsmitarbeiter | Mitarbeiter ohne entsprechende Zugangsberechtigungen Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Rechtzeitige Wartung

ID: NIST SP 800-53 Rev. 5 MA-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1425: rechtzeitige Wartung Microsoft implementiert diese Wartungssteuerung Überwachung 1.0.0

Medienschutz

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 MP-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1426: Richtlinien und Verfahren zum Medienschutz Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1427: Richtlinien und Verfahren zum Medienschutz Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienzugriff

ID: NIST SP 800-53 Rev. 5 MP-2 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1428: Medienzugriff Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienkennzeichnung

ID: NIST SP 800-53 Rev. 5 MP-3 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1429: Bezeichnen von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1430: Bezeichnen von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1

Medienspeicher

ID: NIST SP 800-53 Rev. 5 MP-4 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1431: Medienspeicher Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1432: Medienspeicher Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medientransport

ID: NIST SP 800-53 Rev. 5 MP-5 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1433: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1434: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1435: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1436: Medientransport Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Medienbereinigung

ID: NIST SP 800-53 Rev. 5 MP-6 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1438: Medienbereinigung und -entsorgung Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1439: Medienbereinigung und -entsorgung Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1

Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren

ID: NIST SP 800-53 Rev. 5 MP-6 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1440: Medienbereinigung und -entsorgung | Überprüfen/Genehmigen/Nachverfolgen/Dokumentieren/Verifizieren Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1

Testen von Arbeitsgeräten

ID: NIST SP 800-53 Rev. 5 MP-6 (2) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1441: Medienbereinigung und -entsorgung | Testen von Arbeitsgeräten Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1

Nicht zerstörerische Techniken

ID: NIST SP 800-53 Rev. 5 MP-6 (3) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1442: Medienbereinigung und -entsorgung | Nicht zerstörerische Techniken Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.1

Verwenden von Medien

ID: NIST SP 800-53 Rev. 5 MP-7 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1443: Verwenden von Medien Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1444: Verwenden von Medien | Verhindern der Verwendung ohne Besitzer Microsoft implementiert diese Steuerung zum Medienschutz Überwachung 1.0.0

Physischer Schutz und Schutz der Umgebung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PE-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1445: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1446: Richtlinien und Verfahren für physischen Schutz und Schutz der Umgebung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Autorisierungen für physischen Zugriff

ID: NIST SP 800-53 Rev. 5 PE-2 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1447: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1448: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1449: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1450: Autorisierungen für physischen Zugriff Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Steuerung des physischen Zugriffs

ID: NIST SP 800-53 Rev. 5 PE-3 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1451: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1452: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1453: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1454: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1455: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1456: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1457: Steuerung des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Systemzugriff

ID: NIST SP 800-53 Rev. 5 PE-3 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1458: Steuerung des physischen Zugriffs | Zugriff auf das Informationssystem Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Zugriffssteuerung für die Übertragung

ID: NIST SP 800-53 Rev. 5 PE-4 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1459: Zugriffssteuerung für das Übertragungsmedium Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Steuerung des Zugriffs auf Ausgabegeräte

ID: NIST SP 800-53 Rev. 5 PE-5 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1460: Zugriffssteuerung für Ausgabegeräte Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachen des physischen Zugriffs

ID: NIST SP 800-53 Rev. 5 PE-6 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1461: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1462: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1463: Überwachen des physischen Zugriffs Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Eindringalarme/Überwachungsgeräte

ID: NIST SP 800-53 Rev. 5 PE-6 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1464: Überwachen des physischen Zugriffs | Eindringalarme/Überwachungsgeräte Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachen des physischen Zugriffs auf Systeme

ID: NIST SP 800-53 Rev. 5 PE-6 (4) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1465: Überwachen des physischen Zugriffs | Überwachen des physischen Zugriffs auf Informationssysteme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Datensätze von Besucherzugriffen

ID: NIST SP 800-53 Rev. 5 PE-8 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1466: Datensätze von Besucherzugriffen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1467: Datensätze von Besucherzugriffen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Automatische Verwaltung/Überprüfung von Datensätzen

ID: NIST SP 800-53 Rev. 5 PE-8 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1468: Datensätze von Besucherzugriffen | Automatische Verwaltung/Überprüfung von Datensätzen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Stromversorgungsgeräte und -verkabelung

ID: NIST SP 800-53 Rev. 5 PE-9 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1469: Stromversorgungsgeräte und -verkabelung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notabschaltung

ID: NIST SP 800-53 Rev. 5 PE-10 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1470: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1471: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1472: Notabschaltung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notstromversorgung

ID: NIST SP 800-53 Rev. 5 PE-11 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1473: Notstromversorgung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Alternative Stromversorgung Minimale Betriebsfähigkeit

ID: NIST SP 800-53 Rev. 5 PE-11 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1474: Notstromversorgung | Langfristige alternative Stromversorgung – minimale Betriebsfähigkeit Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Notbeleuchtung

ID: NIST SP 800-53 Rev. 5 PE-12 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1475: Notbeleuchtung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Brandschutz

ID: NIST SP 800-53 Rev. 5 PE-13 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1476: Brandschutz Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Erkennungssysteme Automatische Aktivierung und Benachrichtigung

ID: NIST SP 800-53 Rev. 5 PE-13 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1477: Brandschutz | Erkennungsgeräte/-systeme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Unterdrückungssysteme Automatische Aktivierung und Benachrichtigung

ID: NIST SP 800-53 Rev. 5 PE-13 (2) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1478: Brandschutz | Bekämpfungsgeräte/-systeme Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1479: Brandschutz | Automatische Brandbekämpfung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Umgebungskontrollen

ID: NIST SP 800-53 Rev. 5 PE-14 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1480: Temperatur- und Luftfeuchtigkeitssteuerung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1481: Temperatur- und Luftfeuchtigkeitssteuerung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Überwachung mit Alarmen/Benachrichtigungen

ID: NIST SP 800-53 Rev. 5 PE-14 (2) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1482: Temperatur- und Luftfeuchtigkeitssteuerung | Überwachung mit Alarmen/Benachrichtigungen Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Wasserschadenschutz

ID: NIST SP 800-53 Rev. 5 PE-15 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1483: Wasserschadenschutz Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Automatisierungsunterstützung

ID: NIST SP 800-53 Rev. 5 PE-15 (1) Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1484: Wasserschadenschutz | Automatisierungsunterstützung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Lieferung und Entfernung

ID: NIST SP 800-53 Rev. 5 PE-16 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1485: Lieferung und Entfernung Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Alternativer Arbeitsort

ID: NIST SP 800-53 Rev. 5 PE-17 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1486: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1487: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1488: alternativer Arbeitsort Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Position der Systemkomponenten

ID: NIST SP 800-53 Rev. 5 PE-18 Eigentum: Microsoft

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1489: Position der Informationssystemkomponenten Microsoft implementiert diese Steuerung zum physischen Schutz und Schutz der Umgebung Überwachung 1.0.0

Planung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PL-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1490: Sicherheitsplanungsrichtlinien und -verfahren Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1491: Sicherheitsplanungsrichtlinien und -verfahren Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Systemsicherheits- und Datenschutzpläne

ID: NIST SP 800-53 Rev. 5 PL-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1492: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1493: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1494: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1495: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1496: Systemsicherheitsplan Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1497: Systemsicherheitsplan | Planen/Koordinieren mit anderen Organisationsentitäten Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Verhaltensregeln

ID: NIST SP 800-53 Rev. 5 PL-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1498: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1499: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1500: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1501: Verhaltensregeln Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Einschränkungen für die Nutzung von Sozialen Medien und externen Websites und Anwendungen

ID: NIST SP 800-53 Rev. 5 PL-4 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1502: Verhaltensregeln | Einschränkungen für soziale Medien und Networking Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Sicherheits- und Datenschutzarchitekturen

ID: NIST SP 800-53 Rev. 5 PL-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1503: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1504: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1505: Informationssicherheitsarchitektur Microsoft implementiert diese Steuerung zur Planung Überwachung 1.0.0

Personalsicherheit

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 PS-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1506: Personalsicherheitsrichtlinien und Verfahren Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1507: Personalsicherheitsrichtlinien und Verfahren Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Risikobezeichnung für Position

ID: NIST SP 800-53 Rev. 5 PS-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1508: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1509: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1510: Positionskategorisierung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.1

Personalscreening

ID: NIST SP 800-53 Rev. 5 PS-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1511: Personalscreening Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1512: Personalscreening Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Informationen, die besondere Schutzmaßnahmen erfordern

ID: NIST SP 800-53 Rev. 5 PS-3 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1513: Personalscreening | Informationen mit besonderen Schutzmaßnahmen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1514: Personalscreening | Informationen mit besonderen Schutzmaßnahmen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Beendigung des Mitarbeiterverhältnisses

ID: NIST SP 800-53 Rev. 5 PS-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1515: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1516: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1517: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1518: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1519: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1520: Beendigung des Mitarbeiterverhältnisses Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Automatisierte Aktionen

ID: NIST SP 800-53 Rev. 5 PS-4 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1521: Beendigung des Mitarbeiterverhältnisses | Automatisierte Benachrichtigung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Personalübertragung

ID: NIST SP 800-53 Rev. 5 PS-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1522: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1523: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1524: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1525: Personalübertragung Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Zugriffsvereinbarungen

ID: NIST SP 800-53 Rev. 5 PS-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1526: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1527: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1528: Zugriffsvereinbarungen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Sicherheit externer Mitarbeiter

ID: NIST SP 800-53 Rev. 5 PS-7 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1529: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1530: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1531: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1532: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1533: Personalsicherheit von Dritten Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Personalsanktionen

ID: NIST SP 800-53 Rev. 5 PS-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1534: Personalsanktionen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1535: Personalsanktionen Microsoft implementiert diese Steuerung zur Personalsicherheit Überwachung 1.0.0

Risikobewertung

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 RA-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1536: Richtlinien und Verfahren zur Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1537: Richtlinien und Verfahren zur Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Sicherheitskategorisierung

ID: NIST SP 800-53 Rev. 5 RA-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1538: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1539: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1540: Sicherheitskategorisierung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Risikobewertung

ID: NIST SP 800-53 Rev. 5 RA-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1541: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1542: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1543: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1544: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1545: Risikobewertung Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Überprüfung auf Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 RA-5 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Der Standard-Tarif von Azure Security Center umfasst das Überprüfen von Sicherheitsrisiken für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. AuditIfNotExists, Disabled 3.0.0
Azure Defender für App Service sollte aktiviert werden Azure Defender für App Service nutzt die Skalierbarkeit der Cloud und die Transparenz von Azure als Cloudanbieter, um eine Überwachung auf gängige Web-App-Angriffe durchzuführen. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Azure SQL-Datenbank-Server sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für DNS muss aktiviert sein Azure Defender für DNS bietet eine zusätzliche Schutzebene für Ihre Cloudressourcen, indem alle DNS-Abfragen aus Ihren Azure-Ressourcen fortlaufend überwacht werden. Azure Defender warnt Sie bei verdächtigen Aktivitäten auf der DNS-Ebene. Weitere Informationen über die Funktionen von Azure Defender für DNS erhalten Sie unter https://aka.ms/defender-for-dns. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Key Vault sollte aktiviert werden Azure Defender für Key Vault bietet eine zusätzliche Schutzebene und Security Intelligence, indem ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Key Vault-Konten ermittelt werden. AuditIfNotExists, Disabled 1.0.3
Azure Defender für Resource Manager muss aktiviert sein Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie bei verdächtigen Aktivitäten. Weitere Informationen zu den Funktionen von Azure Defender für Resource Manager erhalten Sie unter https://aka.ms/defender-for-resource-manager. Bei Aktivierung dieses Azure Defender-Plans fallen Gebühren an. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. AuditIfNotExists, Disabled 1.0.0
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Azure Defender für SQL-Server auf Computern sollte aktiviert werden Azure Defender für SQL bietet Funktionen zur Aufdeckung und Entschärfung potenzieller Sicherheitsrisiken für Datenbanken, zur Erkennung anomaler Aktivitäten, die auf eine Bedrohung in SQL-Datenbank-Instanzen hinweisen könnten, sowie zur Ermittlung und Klassifizierung vertraulicher Daten. AuditIfNotExists, Disabled 1.0.2
Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert werden Überwachen von SQL-Servern ohne Advanced Data Security AuditIfNotExists, Disabled 2.0.1
Azure Defender für SQL muss für nicht geschützte verwaltete SQL-Instanzen aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz ohne Advanced Data Security überwacht. AuditIfNotExists, Disabled 1.0.2
Azure Defender für Storage sollte aktiviert werden Azure Defender für Storage ermittelt ungewöhnliche und potenziell schädliche Zugriffs- und Exploitversuche für Speicherkonten. AuditIfNotExists, Disabled 1.0.3
Images für die Containerregistrierung sollten Sicherheitsrisikoergebnisse korrigiert haben. Die Sicherheitsrisikobewertung für Containerimages scannt Ihre Registrierung auf Sicherheitsrisiken und macht für jedes Image detaillierte Ergebnisse verfügbar. Durch die Beseitigung der Sicherheitsrisiken können Sie den Sicherheitsstatus Ihrer Container erheblich verbessern und die Container vor Angriffen schützen. AuditIfNotExists, Disabled 2.0.1
Microsoft Defender für Container sollte aktiviert sein. Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud-Kubernetes-Umgebungen. AuditIfNotExists, Disabled 1.0.0
Von Microsoft verwaltete Steuerung 1546: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1547: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1548: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1549: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1550: Überprüfung auf Sicherheitsrisiken Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1551: Überprüfung auf Sicherheitsrisiken | Update von Toolfunktionen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0
Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. AuditIfNotExists, Disabled 4.0.0
Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. AuditIfNotExists, Disabled 1.0.0
Sicherheitsrisiken in Containersicherheitskonfigurationen sollten behoben werden Hiermit werden Sicherheitsrisiken in der Sicherheitskonfiguration von Computern überwacht, auf denen Docker installiert ist, und es werden Empfehlungen in Azure Security Center angezeigt. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration für Ihre Computer sollten beseitigt werden Hiermit werden Server, die nicht der konfigurierten Baseline entsprechen, über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Sicherheitsrisiken in der Sicherheitskonfiguration von VM-Skalierungsgruppen sollten beseitigt werden Hiermit überwachen Sie die Betriebssystem-Sicherheitsrisiken für Ihre VM-Skalierungsgruppen, um sie vor Angriffen zu schützen. AuditIfNotExists, Disabled 3.0.0
Für SQL Managed Instance muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit wird jede SQL Managed Instance-Instanz überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 1.0.1
Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein Hiermit werden Azure SQL Server-Instanzen überwacht, für die keine regelmäßige Sicherheitsrisikobewertung durchgeführt wird. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. AuditIfNotExists, Disabled 2.0.0
Für Ihre Synapse-Arbeitsbereiche muss eine Sicherheitsrisikobewertung aktiviert sein Ermitteln, verfolgen und beheben Sie potenzielle Sicherheitsrisiken, indem Sie regelmäßige Überprüfungen zur SQL-Sicherheitsrisikobewertung für Ihre Synapse-Arbeitsbereiche konfigurieren. AuditIfNotExists, Disabled 1.0.0

Aktualisieren von zu überprüfenden Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 RA-5 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1552: Überprüfung auf Sicherheitsrisiken | Aktualisieren nach Häufigkeit, vor neuer Überprüfung, bei Identifikation Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Umfang/Abdeckungstiefe

ID: NIST SP 800-53 Rev. 5 RA-5 (3) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1553: Überprüfung auf Sicherheitsrisiken | Umfang/Abdeckungstiefe Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Erkennbare Informationen

ID: NIST SP 800-53 Rev. 5 RA-5 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1554: Überprüfung auf Sicherheitsrisiken | Erkennbare Informationen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Privilegierter Zugriff

ID: NIST SP 800-53 Rev. 5 RA-5 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1555: Überprüfung auf Sicherheitsrisiken | Privilegierter Zugriff Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Automatisierte Trendanalysen

ID: NIST SP 800-53 Rev. 5 RA-5 (6) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1556: Überprüfung auf Sicherheitsrisiken | Automatisierte Trendanalysen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Auswerten der historischen Überwachungsprotokolle

ID: NIST SP 800-53 Rev. 5 RA-5 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1557: Überprüfung auf Sicherheitsrisiken | Auswerten der historischen Überwachungsprotokolle Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

Korrelieren von Überprüfungsinformationen

ID: NIST SP 800-53 Rev. 5 RA-5 (10) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1558: Überprüfung auf Sicherheitsrisiken | Korrelieren von Überprüfungsinformationen Microsoft implementiert diese Steuerung zur Risikobewertung Überwachung 1.0.0

System- und Diensterwerb

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 SA-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1559: Richtlinien und Verfahren beim System- und Diensterwerb Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1560: Richtlinien und Verfahren beim System- und Diensterwerb Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Zuordnung von Ressourcen

ID: NIST SP 800-53 Rev. 5 SA-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1561: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1562: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1563: Zuordnung von Ressourcen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Lebenszyklus der Systementwicklung

ID: NIST SP 800-53 Rev. 5 SA-3 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1564: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1565: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1566: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1567: Lebenszyklus der Systementwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Erwerbsverfahren

ID: NIST SP 800-53 Rev. 5 SA-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1568: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1569: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1570: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1571: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1572: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1573: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1
Von Microsoft verwaltete Steuerung 1574: Erwerbsverfahren Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Funktionale Eigenschaften von Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1575: Erwerbsverfahren | Funktionale Eigenschaften von Sicherheitskontrollen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Design-/Implementierungsinformationen für Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1576: Erwerbsverfahren | Design-/Implementierungsinformationen für Sicherheitskontrollen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Kontinuierlicher Überwachungsplan für Kontrollen

ID: NIST SP 800-53 Rev. 5 SA-4 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1577: Erwerbsverfahren | Plan zur kontinuierlichen Überwachung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Verwendete Funktionen/Ports/Protokolle/Dienste

ID: NIST SP 800-53 Rev. 5 SA-4 (9) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1578: Erwerbsverfahren | verwendete Funktionen/Ports/Protokolle/Dienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Verwenden genehmigter PIV-Produkte

ID: NIST SP 800-53 Rev. 5 SA-4 (10)Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1579: Erwerbsverfahren | Verwenden genehmigter PIV-Produkte Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Systemdokumentation

ID: NIST SP 800-53 Rev. 5 SA-5 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1580: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1581: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1582: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1583: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1584: Dokumentation des Informationssystems Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Prinzipien der Sicherheits- und Datenschutzentwicklung

ID: NIST SP 800-53 Rev. 5 SA-8 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1585: Prinzipien der Sicherheitsentwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Externe Systemdienste

ID: NIST SP 800-53 Rev. 5 SA-9 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1586: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1587: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1588: externe Informationssystemdienste Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Risikobewertungen und Organisationsgenehmigungen

ID: NIST SP 800-53 Rev. 5 SA-9 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1589: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1590: externe Informationssystemdienste | Risikobewertungen/Organisationsgenehmigungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Identifikation von Funktionen/Ports/Protokollen/Diensten

ID: NIST SP 800-53 Rev. 5 SA-9 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1591: externe Informationssystemdienste | Identifikation von Funktionen/Ports/Protokollen... Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.1

Einheitliche Interessen von Consumern und Anbietern

ID: NIST SP 800-53 Rev. 5 SA-9 (4) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1592: externe Informationssystemdienste | Einheitliche Interessen von Consumern und Anbietern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verarbeitungs-, Speicher- und Dienststandort

ID: NIST SP 800-53 Rev. 5 SA-9 (5) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1593: externe Informationssystemdienste | Verarbeitungs-, Speicher- und Dienststandort Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Konfigurationsverwaltung durch Entwickler

ID: NIST SP 800-53 Rev. 5 SA-10 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1594: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1595: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1596: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1597: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1598: Konfigurationsverwaltung durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Integritätsprüfung für Software und Firmware

ID: NIST SP 800-53 Rev. 5 SA-10 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1599: Konfigurationsverwaltung durch Entwickler | Integritätsprüfung für Software/Firmware Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Testen und Auswerten durch Entwickler

ID: NIST SP 800-53 Rev. 5 SA-11 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1600: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1601: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1602: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1603: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1604: Sicherheitstests und -bewertungen durch Entwickler Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Statische Codeanalyse

ID: NIST SP 800-53 Rev. 5 SA-11 (1) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1605: Sicherheitstests und -bewertungen durch Entwickler | Analyse von statischem Code Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Analyse von Bedrohungen und Sicherheitsrisiken

ID: NIST SP 800-53 Rev. 5 SA-11 (2) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1606: Sicherheitstests und -bewertungen durch Entwickler | Analyse von Bedrohungen und Sicherheitsrisiken Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Analyse von dynamischem Code

ID: NIST SP 800-53 Rev. 5 SA-11 (8) Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1607: Sicherheitstests und -bewertungen durch Entwickler | Analyse von dynamischem Code Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Verfahren, Standards und Tools der Entwicklung

ID: NIST SP 800-53 Rev. 5 SA-15 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1609: Verfahren, Standards und Tools für die Entwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1610: Verfahren, Standards und Tools für die Entwicklung Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Von Entwicklern angebotene Schulungen

ID: NIST SP 800-53 Rev. 5 SA-16 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1611: von Entwicklern angebotene Schulungen Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

Sicherheits- und Datenschutzarchitektur und Design von Entwicklern

ID: NIST SP 800-53 Rev. 5 SA-17 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1612: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1613: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1614: Sicherheitsarchitektur und Design von Entwicklern Microsoft implementiert diese Steuerung zum System- und Diensterwerb Überwachung 1.0.0

System- und Kommunikationsschutz

Richtlinie und Prozeduren

ID: NIST SP 800-53 Rev. 5 SC-1 Eigentum: Kunde

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1615: System- und Kommunikationsschutz – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1616: System- und Kommunikationsschutz – Richtlinien und Verfahren Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Trennung von System- und Benutzerfunktionalität

ID: NIST SP 800-53 Rev. 5 SC-2 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1617: Anwendungspartitionierung Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Isolation von Sicherheitsfunktionen

ID: NIST SP 800-53 Rev. 5 SC-3 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure Defender für Server sollte aktiviert werden Azure Defender für Server verfügt über einen Echtzeitbedrohungsschutz für Server und generiert Empfehlungen zur Härtung sowie Warnungen vor verdächtigen Aktivitäten. AuditIfNotExists, Disabled 1.0.3
Die Endpoint Protection-Lösung sollte für VM-Skalierungsgruppen installiert sein Hiermit überprüfen Sie die Existenz und die Integrität einer Endpoint Protection-Lösung in Ihren VM-Skalierungsgruppen, um sie vor Bedrohungen und Sicherheitsrisiken zu schützen. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1618: Isolation von Sicherheitsfunktionen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Fehlenden Endpoint Protection-Schutz in Azure Security Center überwachen Hiermit werden Server ohne installierten Endpoint Protection-Agent über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Windows Defender Exploit Guard muss auf Ihren Computern aktiviert sein Von Windows Defender Exploit Guard wird der Gastkonfigurations-Agent von Azure Policy verwendet. Exploit Guard verfügt über vier Komponenten für die Absicherung von Geräten gegen viele verschiedene Angriffsvektoren und Blockierungsverhalten, mit denen bei Angriffen mit Schadsoftware häufig zu rechnen ist. Darüber hinaus ermöglichen diese Komponenten es Unternehmen, zwischen Sicherheitsrisiken und Produktivitätsanforderungen abzuwägen (nur Windows). AuditIfNotExists, Disabled 2.0.0

Informationen in gemeinsam genutzten Systemressourcen

ID: NIST SP 800-53 Rev. 5 SC-4 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1619: Informationen in gemeinsam genutzten Ressourcen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Schutz vor Denial-of-Service-Angriffen

ID: NIST SP 800-53 Rev. 5 SC-5 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Azure DDoS Protection Standard muss aktiviert sein. DDoS Protection Standard sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Application Gateways mit einer öffentlichen IP-Adresse ist. AuditIfNotExists, Disabled 3.0.0
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1620: Schutz vor Denial-of-Service-Angriffen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Ressourcenverfügbarkeit

ID: NIST SP 800-53 Rev. 5 SC-6 Eigentum: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
Von Microsoft verwaltete Steuerung 1621: Ressourcenverfügbarkeit Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0

Schutz von Grenzen

ID: NIST SP 800-53 Rev. 5 SC-7 Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden. Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Disabled 1.0.1
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern Ihrer Azure SignalR Service-Ressource zuordnen, wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Synapse-Arbeitsbereiche müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zum Azure Synapse-Arbeitsbereich wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Azure Web Application Firewall muss für Azure Front Door-Einstiegspunkte aktiviert sein Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 1.0.2
Der Azure Web PubSub-Dienst muss Private Link verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Azure Web PubSub-Dienst können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Cognitive Services-Konten müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das Cognitive Services-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des Cognitive Services-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Deny, Disabled 3.0.0
Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden Der Netzwerkzugriff auf Cognitive Services-Konten muss eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Cognitive Services-Konto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder an IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 3.0.0
Cognitive Services muss eine private Verbindung verwenden Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Cognitive Services können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen Azure-Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in beliebigen Netzwerken. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Container Registry-Netzwerkregeln finden Sie unter https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network und https://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
Containerregistrierungen sollten eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren Containerregistrierungen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
CosmosDB-Konten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Datenträgerzugriffsressourcen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Datenträgerzugriffsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Event Hub-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Event Hub-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
IoT Hub Device Provisioning Service-Instanzen müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu IoT Hub Device Provisioning Service wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden Hiermit wird der mögliche Just-In-Time-Netzwerkzugriff über Azure Security Center in Form von Empfehlungen überwacht. AuditIfNotExists, Disabled 3.0.0
Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. AuditIfNotExists, Disabled 3.0.0
Von Microsoft verwaltete Steuerung 1622: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1623: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Von Microsoft verwaltete Steuerung 1624: Schutz von Grenzen Microsoft implementiert diese Steuerung zum System- und Kommunikationsschutz Überwachung 1.0.0
Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Für Azure SQL-Datenbank müssen private Endpunktverbindungen aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation, indem nur private Verbindungen mit Azure SQL-Datenbank zugelassen werden. Audit, Disabled 1.1.0
Privater Endpunkt muss für MariaDB-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MariaDB. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für MySQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for MySQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Privater Endpunkt muss für PostgreSQL-Server aktiviert sein Private Endpunktverbindungen erzwingen eine sichere Kommunikation durch das Aktivieren privater Konnektivität mit Azure Database for PostgreSQL. Konfigurieren Sie eine private Endpunktverbindung, um nur Zugriff auf Datenverkehr zu ermöglichen, der aus bekannten Netzwerken stammt, und Zugriff von allen anderen IP-Adressen, auch solchen in Azure, zu verhindern. AuditIfNotExists, Disabled 1.0.2
Für Azure SQL-Datenbank muss „Öffentlicher Netzwerkzugriff“ deaktiviert sein Das Deaktivieren der Eigenschaft „Öffentlicher Netzwerkzugriff“ verbessert die Sicherheit, indem sichergestellt wird, dass auf Ihre Azure SQL-Datenbank-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. Audit, Deny, Disabled 1.1.0
Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MariaDB-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for MySQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs strikt deaktiviert, und alle Anmeldungen, auf die auf IP-Adressen oder virtuellen Netzwerken basierende Firewallregeln reagieren, werden verweigert. Audit, Deny, Disabled 2.0.0
Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein Deaktivieren Sie die Eigenschaft für öffentlichen Netzwerkzugriff, um die Sicherheit zu verbessern und sicherzustellen, dass auf Ihre Azure Database for PostgreSQL-Instanz nur von einem privaten Endpunkt aus zugegriffen werden kann. Mit dieser Konfiguration wird der Zugriff aus einem öffentlichen Adressraum außerhalb des Azure-IP-Adressbereichs deaktiviert, und alle Anmeldungen, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen, werden verweigert. Audit, Deny, Disabled 2.0.0
Netzwerkzugriff auf Speicherkonten einschränken Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internetclients oder lokalen Clients zuzulassen, kann Zugriff für Datenverkehr aus bestimmten virtuellen Azure-Netzwerken oder für IP-Adressbereiche im öffentlichen Internet gewährt werden. Audit, Deny, Disabled 1.1.1
Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. Audit, Deny, Disabled 1.0.1
Speicherkonten müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. AuditIfNotExists, Disabled 2.0.0
Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der ACL-Regeln (Access Control List), die den Netzwerkdatenverkehr an Ihr Subnetz zulassen oder verweigern. AuditIfNotExists, Disabled 3.0.0
VM Image Builder-Vorlagen müssen eine private Verbindung verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) muss für Application Gateway aktiviert sein. Stellen Sie Azure Web Application Firewall (WAF) vor öffentlichen Webanwendungen bereit, um den eingehenden Datenverkehr weiteren Überprüfungen zu unterziehen. Web Application Firewall (WAF) bietet für Ihre Webanwendungen zentralen Schutz vor gängigen Exploits und Sicherheitsrisiken, z. B. SQL-Einschleusungen, Cross-Site Scripting und lokaler Ausführung bzw. Remoteausführung von Dateien. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. Audit, Deny, Disabled 2.0.0

Zugriffspunkte

ID: NIST SP 800-53 Rev. 5 SC-7 (3) Besitzer: Shared

Name
(Azure-Portal)
Beschreibung Auswirkungen Version
(GitHub)
[Vorschau]: Gesamten Internetdatenverkehr über Ihre bereitgestellte Azure Firewall-Instanz leiten Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt werden. Schützen Ihrer Subnetze vor möglichen Bedrohungen durch Einschränken des Zugriffs auf die Subnetze mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation AuditIfNotExists, Disabled 3.0.0-preview
[Vorschau]: Privater Endpunkt muss für Key Vault konfiguriert werden. Mithilfe einer privaten Verbindung können Sie Key Vault mit Ihren Azure-Ressourcen verbinden, ohne Datenverkehr über das öffentliche Internet zu senden. Der private Link bietet umfassenden Schutz vor Datenexfiltration. Audit, Deny, Disabled 1.1.0-preview
[Vorschau]: Der öffentliche Zugriff auf Speicherkonten muss untersagt sein Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine praktische Methode zum Freigeben von Daten, birgt aber unter Umständen Sicherheitsrisiken. Um Datenverletzungen durch unerwünschten anonymen Zugriff zu verhindern, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, sofern dies für Ihr Szenario nicht erforderlich ist. überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung 3.1.0-preview
Auf virtuelle Computer mit Internetzugang müssen Empfehlungen zur adaptiven Netzwerkhärtung angewendet werden. Azure Security Center analysiert die Datenverkehrsmuster von virtuellen Computern mit Internetzugriff und stellt Empfehlungen zu NSG-Regeln (Netzwerksicherheitsgruppe) bereit, um die potenzielle Angriffsfläche zu verringern. AuditIfNotExists, Disabled 3.0.0
Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. Azure Security Center hat erkannt, dass die Regeln für eingehenden Datenverkehr einiger Ihrer Netzwerksicherheitsgruppen zu freizügig sind. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. AuditIfNotExists, Disabled 3.0.0
API Management-Dienste müssen ein virtuelles Netzwerk verwenden Die Azure Virtual Network-Bereitstellung bietet verbesserte Sicherheit und Isolation und ermöglicht das Platzieren Ihres API Management-Diensts in einem Netzwerk ohne Internetrouting, für das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. Audit, Disabled 1.0.1
App Configuration sollte Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Auf der Private Link-Plattform wird die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk verarbeitet. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. Audit, Disabled 2.0.1
Azure API for FHIR sollte einen privaten Link verwenden Azure API for FHIR sollte über mindestens eine genehmigte private Endpunktverbindung verfügen. Clients in einem virtuellen Netzwerk können über Private Link-Instanzen sicher auf Ressourcen mit Verbindungen mit privaten Endpunkten zugreifen. Weitere Informationen finden Sie unter https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
Azure Cache for Redis muss private Verbindung verwenden Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Durch das Zuordnen privater Endpunkte zu Ihren Azure Cache for Redis-Instanzen wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Cognitive Search-Dienst muss eine SKU mit Unterstützung von Private Link verwenden Für die unterstützten SKUs von Azure Cognitive Search können Sie mithilfe von Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Suchdienst wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen den Zugriff über öffentliche Netzwerke deaktivieren Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da Ihr Azure Cognitive Search-Dienst nicht über das öffentliche Internet zugänglich ist. Durch das Erstellen privater Endpunkte können Sie die Offenlegung Ihres Suchdiensts einschränken. Weitere Informationen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Azure Cognitive Search-Dienste müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Cognitive Search wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Cosmos DB-Konten müssen über Firewallregeln verfügen. Für Ihre Azure Cosmos DB Konten sollten Firewallregeln definiert werden, um Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. Audit, Deny, Disabled 2.0.0
Azure Data Factory muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Data Factory wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
Azure Event Grid-Domänen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Azure Event Grid-Themen sollten Private Link verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Die Azure-Dateisynchronisierung sollte eine private Verbindung verwenden Durch das Erstellen eines privaten Endpunkts für die angegebene Speichersynchronisierungsdienst-Ressource können Sie aus dem privaten IP-Adressraum Ihres Organisationsnetzwerk auf Ihre Speichersynchronisierungsdienst-Ressource zugreifen, anstatt für den Zugriff den über das Internet zugänglichen öffentlichen Endpunkt zu verwenden. Das Erstellen eines privaten Endpunkts führt nicht dazu, dass der öffentliche Endpunkt deaktiviert wird. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault sollte eine aktive Firewall haben Aktivieren Sie die Key Vault-Firewall, damit auf den Key Vault standardmäßig nicht über öffentliche IP-Adressen zugegriffen werden kann. Sie können dann bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.0.0
Azure Machine Learning-Arbeitsbereiche müssen private Links verwenden. Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Azure Machine Learning-Arbeitsbereichen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Deny, Disabled 1.1.0
Azure Service Bus-Namespaces müssen Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform stellt über das Azure-Backbonenetzwerk Konnektivität zwischen dem Consumer und den Diensten her. Durch das Zuordnen privater Endpunkte zu Service Bus-Namespaces wird das Risiko von Datenlecks verringert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Azure SignalR Service muss Private Link verwenden Mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne auf der Quelle oder auf dem Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer u