Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Diese Seite ist ein Index von Azure Policy integrierten Richtliniendefinitionen im Zusammenhang mit Microsoft Defender for Cloud. Die folgenden Gruppierungen von Richtliniendefinitionen sind verfügbar:
- Die Gruppe initiativen listet die Azure Policy Initiativdefinitionen in der Kategorie "Defender for Cloud" auf.
- In der default-Initiative werden alle Azure Policy Definitionen aufgelistet, die Teil der Standardinitiative Defender for Cloud Microsoft Cloud Security Benchmark sind. Dieser Microsoft angesehene Benchmark baut auf Kontrollen aus dem Center for Internet Security (CIS) und dem National Institute of Standards and Technology (NIST) mit schwerpunktorientierter Sicherheit auf.
- Die Gruppe category listet alle Azure Policy Definitionen in der Kategorie "Defender for Cloud" auf.
Weitere Informationen zu Sicherheitsrichtlinien finden Sie unter Arbeiten mit Sicherheitsrichtlinien. Weitere Azure Policy integrierten Azure Policy für andere Dienste finden Sie unter Azure Policy integrierte Definitionen.
Der Name der einzelnen integrierten Richtliniendefinitionen ist mit der Richtliniendefinition im Azure-Portal verknüpft. Verwenden Sie den Link in der Spalte Version, um die Quelle im Repository Azure Policy GitHub-Repository anzuzeigen.
Microsoft Defender for Cloud Initiativen
Informationen zu den integrierten Initiativen, die von Defender for Cloud überwacht werden, finden Sie in der folgenden Tabelle:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents | Stellen Sie Microsoft Defender for Endpoint Agent auf anwendbaren Images bereit. | 4 | 1.0.0-preview |
| [Vorschau]: Microsoft Cloudsicherheits-Benchmark v2 | Die Microsoft Initiative zur Cloudsicherheits-Benchmark stellt die Richtlinien dar und steuert die Implementierung von Sicherheitsempfehlungen, die in Microsoft Cloud-Sicherheits-Benchmark definiert sind, siehe https://aka.ms/azsecbm. Dies dient auch als Microsoft Defender for Cloud Standardrichtlinieninitiative. Sie können diese Initiative direkt zuweisen oder ihre Richtlinien und Complianceergebnisse innerhalb Microsoft Defender for Cloud verwalten. | 414 | 1.3.0-Vorschau |
| Configure Erweiterter Schutz vor Bedrohungen für relationale Open-Source-Datenbanken aktiviert werden | Aktivieren Sie Erweiterter Schutz vor Bedrohungen für Ihre nicht einfachen open-source-relationalen Datenbanken, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Siehe https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configure Azure Defender auf SQL Server und SQL Managed Instances aktiviert werden | Aktivieren Sie Azure Defender auf Ihren SQL Server- und SQL Managed Instances, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. | 3 | 3.0.0 |
| Configure Microsoft Defender for Cloud Pläne | Microsoft Defender for Cloud bietet umfassenden, cloudeigenen Schutz von der Entwicklung bis zur Laufzeit in Multi-Cloud-Umgebungen. Verwenden Sie die Richtlinieninitiative, um Defender for Cloud Pläne und Erweiterungen zu konfigurieren, die für ausgewählte Bereiche aktiviert werden sollen. | 12 | 1.1.0 |
| Configure Microsoft Defender, damit Datenbanken aktiviert werden | Konfigurieren Sie Microsoft Defender für Datenbanken, um Ihre Azure SQL Datenbanken, verwaltete Instanzen, relationale Open-Source-Datenbanken und Cosmos DB zu schützen. | 4 | 1.0.0 |
| Configure mehrere Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud | Konfigurieren Sie die Integrationseinstellungen für mehrere Microsoft Defender for Endpoint mit Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION usw.). Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | 3 | 1.0.0 |
| Configure SQL-VMs und arcfähige SQL-Server zum Installieren Microsoft Defender Erweiterung | Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | 3 | 1.0.0 |
| Configure SQL-VMs und Arc-fähigen SQL-Server zum Installieren von Microsoft Defender für SQL und AMA mit einem LA-Arbeitsbereich | Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. | 9 | 1.3.0 |
| Configure SQL-VMs und Arc-fähigen SQL-Server zum Installieren von Microsoft Defender für SQL und AMA mit einem benutzerdefinierten LA-Arbeitsbereich | Microsoft Defender für SQL sammelt Ereignisse von den Agents und verwendet sie, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellt eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. | 8 | 1.2.0 |
| Microsoft Cloud Security Benchmark | Die Microsoft Initiative zur Cloudsicherheits-Benchmark stellt die Richtlinien dar und steuert die Implementierung von Sicherheitsempfehlungen, die in Microsoft Cloud-Sicherheits-Benchmark definiert sind, siehe https://aka.ms/azsecbm. Dies dient auch als Microsoft Defender for Cloud Standardrichtlinieninitiative. Sie können diese Initiative direkt zuweisen oder ihre Richtlinien und Complianceergebnisse innerhalb Microsoft Defender for Cloud verwalten. | 223 | 57.56.0 |
Defender for Cloud Standardinitiative (Microsoft Cloud-Sicherheits-Benchmark)
Informationen zu den integrierten Richtlinien, die von Defender for Cloud überwacht werden, finden Sie in der folgenden Tabelle:
| Richtlinienname (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center hat festgestellt, dass einige Ihrer Subnetze nicht durch eine Firewall der nächsten Generation geschützt sind. Schützen Sie Ihre Subnetze vor potenziellen Bedrohungen, indem Sie den Zugriff auf sie mit Azure Firewall oder einer unterstützten Firewall der nächsten Generation einschränken. | AuditIfNotExists, Deaktiviert | 3.0.0-preview | |
| [Vorschau]: Azure Arc aktivierten Kubernetes-Cluster sollten Microsoft Defender for Cloud Erweiterung installiert sein | Microsoft Defender for Cloud Erweiterung für Azure Arc bietet Bedrohungsschutz für Ihre Arc-aktivierten Kubernetes-Cluster. Die Erweiterung sammelt Daten von allen Knoten im Cluster und sendet sie zur weiteren Analyse an den Azure Defender für Kubernetes-Back-End in der Cloud. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Deaktiviert | 6.0.0-preview |
| [Vorschau]: Azure Flexibler PostgreSQL-Server sollte Microsoft Entra Nur Authentifizierung aktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden und das Zulassen von nur Microsoft Entra Authentifizierung wird die Sicherheit verbessert, indem sichergestellt wird, dass Azure Flexible Server von PostgreSQL ausschließlich über Microsoft Entra Identitäten aufgerufen werden kann. | Audit, deaktiviert | 1.0.0-preview |
| [Vorschau]: Azure Stack HCI-Server sollten konsequent Anwendungssteuerungsrichtlinien erzwungen haben | Wenden Sie mindestens die Microsoft WDAC-Basisrichtlinie im erzwungenen Modus auf allen Azure Stack HCI-Servern an. Angewendete Windows Defender Anwendungssteuerungsrichtlinien (WDAC) müssen auf servern im selben Cluster konsistent sein. | Audit, Deaktiviert, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Azure Stack HCI-Server sollten gesicherte Kernanforderungen erfüllen | Stellen Sie sicher, dass alle Azure Stack HCI-Server die Anforderungen gesicherter Kerne erfüllen. So aktivieren Sie die Anforderungen für Server mit gesicherten Kernen: 1. Wechseln Sie auf der Seite Azure Stack HCI-Cluster zu Windows Admin Center, und wählen Sie "Verbinden" aus. 2. Wechseln Sie zur Sicherheitserweiterung, und wählen Sie „Gesicherter Kern“ aus. 3. Wählen Sie eine beliebige Einstellung aus, die nicht aktiviert ist, und klicken Sie auf „Aktivieren“. | Audit, Deaktiviert, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Azure Stack HCI-Systeme sollten verschlüsselte Volumes haben | Verwenden Sie BitLocker, um das Betriebssystem und datenvolumes auf Azure Stack HCI-Systemen zu verschlüsseln. | Audit, Deaktiviert, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 6.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 5.1.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows virtuellen Computern installiert werden | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | AuditIfNotExists, Deaktiviert | 4.0.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows vm scale sets installiert werden | Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern skalierungssätze, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Skalierungssätze für vertrauenswürdige Starts und vertraulichen Windows virtuellen Computer. | AuditIfNotExists, Deaktiviert | 3.1.0-preview |
| [Vorschau]: Host- und VM-Netzwerke sollten auf Azure Stack HCI-Systemen geschützt sein | Schützen Sie Daten auf dem Azure Stack HCI-Hosts-Netzwerk und auf Netzwerkverbindungen virtueller Computer. | Audit, Deaktiviert, AuditIfNotExists | 1.0.0-preview |
| [Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender for Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Der Datensammlungs-Agent für Netzwerkdatenverkehr muss auf virtuellen Linux-Computern installiert werden | Security Center verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfeatures wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Deaktiviert | 1.0.2-preview |
| [Vorschau]: Netzwerkdatensammlungs-Agent sollte auf Windows virtuellen Computern installiert werden | Security Center verwendet den Microsoft Abhängigkeits-Agent zum Sammeln von Netzwerkdatenverkehrsdaten von Ihren Azure virtuellen Computern, um erweiterte Netzwerkschutzfeatures wie die Datenverkehrsvisualisierung auf der Netzwerkkarte, Netzwerkhärtungsempfehlungen und bestimmte Netzwerkbedrohungen zu ermöglichen. | AuditIfNotExists, Deaktiviert | 1.0.2-preview |
| [Vorschau]: Sicherer Start sollte auf unterstützten virtuellen Computern Windows aktiviert werden | Aktivieren Sie den sicheren Start auf unterstützten Windows virtuellen Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | Audit, deaktiviert | 4.0.0-preview |
| [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, deaktiviert | 2.0.0-preview |
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| A-Microsoft Entra-Administrator sollte für MySQL-Server bereitgestellt werden | Überwachen Sie die Bereitstellung eines Microsoft Entra Administrators für Ihren MySQL-Server, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste | AuditIfNotExists, Deaktiviert | 1.1.1 |
| A-Microsoft Entra Administrator sollte für PostgreSQL-Server bereitgestellt werden | Überwachen Sie die Bereitstellung eines Microsoft Entra Administrators für Ihren PostgreSQL-Server, um Microsoft Entra Authentifizierung zu aktivieren. Microsoft Entra Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Azure Security Center Standardpreisstufe enthält Sicherheitsrisikoüberprüfungen für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat einige der eingehenden Regeln Ihrer Netzwerksicherheitsgruppen als zu eingeschränkt identifiziert. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| An Azure Active Directory Administrator sollte für SQL-Server bereitgestellt werden | Überwachen sie die Bereitstellung eines Azure Active Directory Administrators für Ihren SQL Server, um Azure AD-Authentifizierung zu aktivieren. Azure AD-Authentifizierung ermöglicht vereinfachte Berechtigungsverwaltung und zentrale Identitätsverwaltung von Datenbankbenutzern und anderen Microsoft-Dienste | AuditIfNotExists, Deaktiviert | 1.0.0 |
| API-Endpunkte in Azure API Management sollten authentifiziert werden | API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Deaktiviert | 1.0.1 |
| API-Endpunkte, die nicht verwendet werden, sollten deaktiviert und aus dem Azure API Management Dienst entfernt werden | Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies können APIs sein, die vom Azure API Management Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| API Management-APIs sollten nur verschlüsselte Protokolle verwenden | Um die Sicherheit von Daten während der Übertragung zu gewährleisten, sollten APIs nur über verschlüsselte Protokolle wie HTTPS oder WSS verfügbar sein. Verwenden Sie keine ungesicherten Protokolle, wie HTTP oder WS. | Audit, Disabled, Verweigern | 2.0.2 |
| API Management-Aufrufe an API-Back-Ends sollten authentifiziert werden | Aufrufe von API Management an Backends sollten eine Form der Authentifizierung verwenden, sei es über Zertifikate oder Anmeldeinformationen. Gilt nicht für Service Fabric Back-Ends. | Audit, Disabled, Verweigern | 1.0.1 |
| API Management-Aufrufe von API-Back-Ends sollten den Zertifikatfingerabdruck oder die Namensüberprüfung nicht umgehen | Um die API-Sicherheit zu verbessern, sollte API Management das Back-End-Serverzertifikat für alle API-Aufrufe überprüfen. Aktivieren Sie den SSL-Zertifikatfingerabdruck und die Namensvalidierung. | Audit, Disabled, Verweigern | 1.0.2 |
| Direkter API Management-Verwaltungsendpunkt sollte nicht aktiviert sein | Die DIREKTE Verwaltungs-REST-API in Azure API Management umgangen Azure Resource Manager rollenbasierten Zugriffssteuerungs-, Autorisierungs- und Drosselungsmechanismen, wodurch die Sicherheitsanfälligkeit Ihres Diensts erhöht wird. | Audit, Disabled, Verweigern | 1.0.2 |
| API Management secret named values should be stored in Azure Key Vault | Benannte Werte sind eine Sammlung von Name/Wert-Paaren in jedem API Management-Dienst. Geheime Werte können entweder als verschlüsselter Text in der API-Verwaltung (benutzerdefinierte geheime Schlüssel) oder durch Verweisen auf geheime Schlüssel in Azure Key Vault gespeichert werden. Um die Sicherheit von API-Verwaltung und geheimen Schlüsseln zu verbessern, verweisen Sie auf geheime werte aus Azure Key Vault. Azure Key Vault unterstützt granulare Zugriffsverwaltungs- und geheime Rotationsrichtlinien. | Audit, Disabled, Verweigern | 1.0.2 |
| API Management-Dienste müssen ein virtuelles Netzwerk verwenden | Azure Virtual Network Bereitstellung bietet erweiterte Sicherheit, Isolation und ermöglicht es Ihnen, Ihren API-Verwaltungsdienst in einem nicht in internetroutebaren Netzwerk zu platzieren, auf das Sie den Zugriff steuern. Diese Netzwerke können dann durch verschiedene VPN-Technologien mit Ihren lokalen Netzwerken verbunden werden, was den Zugriff auf Ihre Back-End-Dienste innerhalb des Netzwerks und/oder lokal ermöglicht. Das Entwicklerportal und das API-Gateway können so konfiguriert werden, dass darauf entweder über das Internet oder nur vom virtuellen Netzwerk aus zugegriffen werden kann. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| API Management sollte den öffentlichen Netzwerkzugriff auf die Dienstkonfigurationsendpunkte deaktivieren. | Um die Sicherheit von API Management-Diensten zu verbessern, schränken Sie die Konnektivität mit Dienstkonfigurationsendpunkten ein, z. B. die API für die direkte Zugriffsverwaltung, den Git-Konfigurationsverwaltungsendpunkt oder den Konfigurationsendpunkt für selbstgehostete Gateways. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| API Management-Abonnements sollten nicht für alle APIs gelten | API Management-Abonnements sollten für ein Produkt oder eine einzelne API anstatt für alle APIs gelten, da dies sonst zu einer übermäßigen Datengefährdung führen kann. | Audit, Disabled, Verweigern | 1.1.0 |
| App Configuration sollte Private Link verwenden. | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihren App Configuration-Instanzen zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Verweigern | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 3.0.0 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 2.2.0 |
| Verwendung benutzerdefinierter RBAC-Rollen überwachen | Hiermit werden integrierte Rollen wie z.B. „Benutzer“, „Mitwirkender“ und „Leser“ anstelle benutzerdefinierter RBAC-Rollen überwacht, die fehleranfällig sind. Die Verwendung benutzerdefinierter Rollen wird als Ausnahme betrachtet und erfordert eine strenge Überprüfung und Bedrohungsmodellierung. | Audit, deaktiviert | 1.0.1 |
| Die Überwachung in SQL Server muss aktiviert werden | Die Überwachung auf Ihrem SQL Server sollte aktiviert sein, um Datenbankaktivitäten auf allen Datenbanken auf dem Server nachzuverfolgen und in einem Überwachungsprotokoll zu speichern. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Für die Authentifizierung bei Linux-Computern muss ein SSH-Schlüssel erforderlich sein | SSH stellt zwar bereits eine verschlüsselte Verbindung bereit, bei Verwendung von Kennwörtern für SSH ist der virtuelle Computer jedoch weiterhin anfällig für Brute-Force-Angriffe. Die sicherste Option für die Authentifizierung bei einem Azure virtuellen Linux-Computer über SSH ist ein öffentliches schlüsselpaar, auch als SSH-Schlüssel bezeichnet. Weitere Informationen finden Sie hier: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deaktiviert | 3.2.0 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, deaktiviert | 2.0.1 |
| Automation-Kontovariablen sollten verschlüsselt werden | Es ist wichtig, die Verschlüsselung für Variablenobjekte von Automation-Konten zu aktivieren, wenn vertrauliche Daten gespeichert werden. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Die Verwendung von kundenseitig verwalteten Schlüsseln zum Verschlüsseln ruhender Daten bietet mehr Kontrolle über den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Dies ist insbesondere für Organisationen mit entsprechenden Complianceanforderungen relevant. Standardmäßig wird dies nicht bewertet. Eine Anwendung sollte nur bei Erzwingen durch Compliance- oder restriktive Richtlinienanforderungen erfolgen. Wenn keine Aktivierung erfolgt ist, werden die Daten mit plattformseitig verwalteten Schlüsseln verschlüsselt. Für die Implementierung aktualisieren Sie den Effect-Parameter in der Sicherheitsrichtlinie für den entsprechenden Geltungsbereich. | Überprüfen, Verweigern, Deaktiviert | 2.2.0 | |
| Azure AI Services-Ressourcen sollten den Schlüsselzugriff deaktiviert haben (lokale Authentifizierung deaktivieren) | Es wird empfohlen, den Schlüsselzugriff (lokale Authentifizierung) für die Sicherheit zu deaktivieren. Azure OpenAI Studio, das in der Regel in Entwicklung/Tests verwendet wird, erfordert schlüsselzugriff und funktioniert nicht, wenn der Schlüsselzugriff deaktiviert ist. Nach dem Deaktivieren wird Microsoft Entra ID zur einzigen Zugriffsmethode, die die Aufrechterhaltung des Minimalberechtigungsprinzips und der granularen Kontrolle ermöglicht. Weitere Informationen finden Sie unter: https://aka.ms/AI/auth | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Azure AI Services-Ressourcen sollten den Netzwerkzugriff einschränken | Durch Einschränken des Netzwerkzugriffs können Sie sicherstellen, dass nur zulässige Netzwerke auf den Dienst zugreifen können. Dies kann erreicht werden, indem Netzwerkregeln konfiguriert werden, sodass nur Anwendungen aus zulässigen Netzwerken auf den Azure KI-Dienst zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 3.3.0 |
| mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform reduziert Datenleckrisiken, indem die Konnektivität zwischen Verbraucher und Diensten über das Azure Backbone-Netzwerk verarbeitet wird. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/AzurePrivateLink/Overview. | Audit, deaktiviert | 1.0.0 | |
| Azure API Management stv1 compute platform version will be retired 31 August 2024, and these instances should be migrated to stv2 compute platform for continued support. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 | |
| Azure Arc aktivierte Kubernetes-Cluster sollten die Azure Policy Erweiterung installiert haben | Die Azure Policy Erweiterung für Azure Arc bietet umfangreiche Erzwingungen und Garantien für Ihre Arc-aktivierten Kubernetes-Cluster auf eine zentralisierte und konsistente Weise. Weitere Informationen finden Sie unter https://aka.ms/akspolicydoc. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Stellen Sie den Schutz Ihrer Azure Virtual Machines sicher, indem Sie Azure Backup aktivieren. Azure Backup ist eine sichere und kostengünstige Datenschutzlösung für Azure. | AuditIfNotExists, Deaktiviert | 3.0.0 | |
| Azure Cache for Redis sollte einen privaten Link verwenden | Mit privaten Endpunkten können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Durch die Zuordnung privater Endpunkte zu Ihren Azure Cache for Redis Instanzen werden Die Risiken für Datenlecks reduziert. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Cosmos DB-Konten sollten Firewallregeln aufweisen | Firewallregeln sollten für Ihre Azure Cosmos DB-Konten definiert werden, um den Datenverkehr von nicht autorisierten Quellen zu verhindern. Konten, für die mindestens eine IP-Regel mit aktiviertem VNET-Filter definiert ist, werden als konform eingestuft. Konten, die den öffentlichen Zugriff deaktivieren, werden ebenfalls als konform eingestuft. | Überprüfen, Verweigern, Deaktiviert | 2.1.0 |
| Azure Cosmos DB-Konten sollten vom Kunden verwaltete Schlüssel verwenden, um Ruhedaten zu verschlüsseln | Verwenden Sie vom Kunden verwaltete Schlüssel, um die Verschlüsselung im Ruhezustand Ihrer Azure Cosmos DB zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/cosmosdb-cmk. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 1.1.0 |
| Azure Cosmos DB sollte den Zugriff auf öffentliche Netzwerke deaktivieren | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, indem sichergestellt wird, dass das CosmosDB-Konto nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung des CosmosDB-Kontos einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure Databricks Cluster sollten öffentliche IP-Adressen deaktivieren | Durch das Deaktivieren öffentlicher IP-Adressen von Clustern in Azure Databricks Arbeitsbereichen wird die Sicherheit verbessert, indem sichergestellt wird, dass die Cluster nicht im öffentlichen Internet verfügbar gemacht werden. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Databricks Arbeitsbereiche sollten sich in einem virtuellen Netzwerk befinden | Azure virtuellen Netzwerke bieten eine verbesserte Sicherheit und Isolation für Ihre Azure Databricks Arbeitsbereiche sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features, um den Zugriff weiter einzuschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| Azure Databricks Arbeitsbereiche sollten den Öffentlichen Netzwerkzugriff deaktivieren | Die Deaktivierung des Zugriff über öffentliche Netzwerke erhöht die Sicherheit, da die Ressource nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung von Ressourcen steuern, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Databricks Arbeitsbereiche sollten einen privaten Link verwenden | mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte Azure Databricks Arbeitsbereichen zuordnen, können Sie Die Risiken für Datenlecks reduzieren. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/adbpe. | Audit, deaktiviert | 1.0.2 |
| Azure DDoS Protection sollte aktiviert sein | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Deaktiviert | 3.0.1 |
| Azure Defender für App Service sollte aktiviert sein | Azure Defender für App Service nutzt den Umfang der Cloud und die Sichtbarkeit, die Azure als Cloudanbieter hat, um allgemeine Web-App-Angriffe zu überwachen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank Server sollte aktiviert sein | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert sein | Azure Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für relationale Open-Source-Datenbanken sollten aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für Resource Manager sollte aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für Server sollte aktiviert sein | Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert sein | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte Azure SQL Server aktiviert sein | Überwachen von SQL-Servern ohne Advanced Data Security | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Azure Defender für SQL sollte für nicht geschützte mySQL-flexible Server aktiviert sein | Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für SQL sollte für ungeschützte flexible PostgreSQL-Server aktiviert sein | Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für SQL sollte für nicht geschützte verwaltete SQL-Instanzen aktiviert sein | Überwachen Sie jede SQL Managed Instance ohne erweiterte Datensicherheit. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Azure Event Grid Domänen sollten einen privaten Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrer Event Grid-Domäne zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, deaktiviert | 1.0.2 |
| Azure Event Grid Themen sollten einen privaten Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Indem Sie private Endpunkte nicht dem gesamten Dienst, sondern nur Ihrem Event Grid-Thema zuordnen, sind Sie auch vor Risiken aufgrund von Datenlecks geschützt. Weitere Informationen finden Sie unter https://aka.ms/privateendpoints. | Audit, deaktiviert | 1.0.2 |
| Azure Key Vault sollte die Firewall aktiviert oder der Zugriff auf öffentliche Netzwerke deaktiviert sein | Aktivieren Sie die Schlüsseltresorfirewall so, dass der Schlüsseltresor standardmäßig nicht für öffentliche IPs zugänglich ist oder den Zugriff auf öffentliche Netzwerke für Ihren Schlüsseltresor deaktiviert, sodass er nicht über das öffentliche Internet zugänglich ist. Optional können Sie bestimmte IP-Bereiche konfigurieren, um den Zugriff auf diese Netzwerke einzuschränken. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/key-vault/general/network-security sowie unter https://aka.ms/akvprivatelink. | Überprüfen, Verweigern, Deaktiviert | 3.3.0 |
| Azure Key Vault sollte das RBAC-Berechtigungsmodell verwenden | Aktivieren Sie das RBAC-Berechtigungsmodell in Schlüsseltresoren. Weitere Informationen finden Sie unter: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Azure Key Vaults sollten private Links verwenden | mit Azure Private Link können Sie Ihre virtuellen Netzwerke ohne öffentliche IP-Adresse an der Quelle oder am Ziel mit Azure Diensten verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Schlüsseltresor können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service-Cluster sollten Defender Profil aktiviert sein | Microsoft Defender für Container bietet cloudeigene Kubernetes-Sicherheitsfunktionen, einschließlich Umgebungshärtung, Workloadschutz und Laufzeitschutz. Wenn Sie securityProfile.AzureDefender auf Ihrem Azure Kubernetes Service-Cluster aktivieren, wird ein Agent für Ihren Cluster bereitgestellt, um Sicherheitsereignisdaten zu sammeln. Weitere Informationen zu Microsoft Defender für Container in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, deaktiviert | 2.0.1 |
| Azure Machine Learning Computeinstanzen sollten neu erstellt werden, um die neuesten Softwareupdates abzurufen | Stellen Sie sicher, dass Azure Machine Learning Computeinstanzen auf dem neuesten verfügbaren Betriebssystem ausgeführt werden. Die Sicherheit wird verbessert und Sicherheitsrisiken werden verringert, indem sie mit den neuesten Sicherheitspatches ausgeführt werden. Weitere Informationen finden Sie unter https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Computes sollten sich in einem virtuellen Netzwerk befinden | Azure virtuelle Netzwerke bieten eine verbesserte Sicherheit und Isolation für Ihre Azure Machine Learning Computecluster und Instanzen sowie Subnetze, Zugriffssteuerungsrichtlinien und andere Features, um den Zugriff weiter einzuschränken. Wenn eine Computeressource mit einem virtuellen Netzwerk konfiguriert wird, ist sie nicht öffentlich adressierbar, und auf das virtuelle Netzwerk kann nur über VMs und Anwendungen innerhalb des virtuellen Netzwerks zugegriffen werden. | Audit, deaktiviert | 1.0.1 |
| Azure Machine Learning Computes sollten lokale Authentifizierungsmethoden deaktiviert haben | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Machine Learning Computes Azure Active Directory Identitäten ausschließlich für die Authentifizierung erfordert. Weitere Informationen finden Sie unter https://aka.ms/azure-ml-aad-policy. | Überprüfen, Verweigern, Deaktiviert | 2.1.0 |
| Azure Machine Learning Arbeitsbereiche sollten mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden | Verwalten Sie die Verschlüsselung im Ruhezustand Azure Machine Learning Arbeitsbereichsdaten mit vom Kunden verwalteten Schlüsseln. Standardmäßig werden Kundendaten mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/azureml-workspaces-cmk. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Azure Machine Learning Arbeitsbereiche sollten den Öffentlichen Netzwerkzugriff deaktivieren | Durch das Deaktivieren des öffentlichen Netzwerkzugriffs wird die Sicherheit verbessert, indem sichergestellt wird, dass die Machine Learning Arbeitsbereiche nicht im öffentlichen Internet verfügbar gemacht werden. Sie können die Offenlegung von Arbeitsbereichen steuern, indem Sie stattdessen private Endpunkte erstellen. Weitere Informationen finden Sie unter: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Überprüfen, Verweigern, Deaktiviert | 2.0.1 |
| Azure Machine Learning Arbeitsbereiche sollten einen privaten Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Azure Machine Learning Arbeitsbereichen werden Die Risiken für Datenlecks reduziert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, deaktiviert | 1.0.0 |
| Azure MySQL flexible Server sollte Microsoft Entra Nur Authentifizierung aktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden und das Zulassen von nur Microsoft Entra Authentifizierung verbessert die Sicherheit, indem sichergestellt wird, dass Azure flexiblen MySQL-Server ausschließlich von Microsoft Entra Identitäten aufgerufen werden kann. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Azure Policy-Add-On für Kubernetes-Dienst (AKS) sollte auf Ihren Clustern installiert und aktiviert werden | Azure Policy Add-On für Kubernetes-Dienst (AKS) erweitert Gatekeeper v3, einen Dienstanbieter-Webhook für Open Policy Agent (OPA), um skalierte Erzwingungen und Sicherheitsvorkehrungen auf Ihre Cluster zentral und einheitlich anzuwenden. | Audit, deaktiviert | 1.0.2 |
| Azure-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Azure SignalR Service sollte einen privaten Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Ihrer Azure SignalR Service Ressource anstelle des gesamten Diensts reduzieren Sie Ihre Datenlecksrisiken. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/asrs/privatelink. | Audit, deaktiviert | 1.0.0 |
| Azure Spring Cloud sollte die Netzwerkeinfügung verwenden | Azure Spring Cloud-Instanzen sollten die Einfügung virtueller Netzwerke für die folgenden Zwecke verwenden: 1. Isolieren sie Azure Spring Cloud aus dem Internet. 2. Ermöglichen Sie Azure Spring Cloud für die Interaktion mit Systemen in lokalen Rechenzentren oder Azure Dienst in anderen virtuellen Netzwerken. 3. Ermöglichen Sie Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud. | Audit, Disabled, Verweigern | 1.2.0 |
| Azure SQL-Datenbank sollte TLS Version 1.2 oder höher ausführen | Das Festlegen der TLS-Version auf 1.2 oder höher verbessert die Sicherheit, indem sichergestellt wird, dass Auf Ihre Azure SQL-Datenbank nur von Clients mit TLS 1.2 oder höher zugegriffen werden kann. Niedrigere TLS-Versionen als Version 1.2 weisen gut dokumentierte Sicherheitsrisiken auf und sind daher zu vermeiden. | Audit, Disabled, Verweigern | 2.0.0 |
| Azure SQL-Datenbank sollte die Microsoft Entra-only-Authentifizierung aktiviert sein | Azure SQL logischen Server müssen Microsoft Entra nur Authentifizierung verwenden. Diese Richtlinie verhindert nicht, dass Server mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure SQL logische Server sollten während der Erstellung Microsoft Entra-only-Authentifizierung aktiviert sein | Erfordern, dass Azure SQL logischen Server mit Microsoft Entra-only-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Überprüfen, Verweigern, Deaktiviert | 1.3.0 |
| Azure SQL Managed Instance sollte Microsoft Entra Authentifizierung aktiviert sein | Erfordert, dass Azure SQL Managed Instance die Microsoft Entra-only-Authentifizierung verwenden kann. Diese Richtlinie blockiert nicht, Azure SQL verwaltete Instanzen mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure SQL Verwaltete Instanzen sollten den Öffentlichen Netzwerkzugriff deaktivieren | Durch deaktivieren des öffentlichen Netzwerkzugriffs (öffentlicher Endpunkt) für Azure SQL verwaltete Instanzen wird die Sicherheit verbessert, indem sichergestellt wird, dass nur innerhalb ihrer virtuellen Netzwerke oder über private Endpunkte darauf zugegriffen werden kann. Weitere Informationen zum Zugriff auf öffentliche Netzwerke finden Sie unter https://aka.ms/mi-public-endpoint. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Azure SQL Verwaltete Instanzen sollten während der Erstellung Microsoft Entra-only-Authentifizierung aktiviert sein | Erfordert, dass Azure SQL Managed Instance mit Microsoft Entra-Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/adonlycreate. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Azure Web Application Firewall sollte für Azure Front Door Einstiegspunkte aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| Blocked-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Blocked-Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Zertifikate müssen die angegebene maximale Gültigkeitsdauer aufweisen | Hiermit werden die Konformitätsanforderungen Ihrer Organisation verwaltet, indem die maximale Zeitspanne angegeben wird, für die ein Zertifikat innerhalb Ihres Schlüsseltresors gültig sein darf. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 2.2.1 |
| Containerregistrierungen müssen mit einem kundenseitig verwalteten Schlüssel verschlüsselt werden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten für den Inhalt Ihrer Registrierungen zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. Weitere Informationen finden Sie unter https://aka.ms/acr/CMK. | Überprüfen, Verweigern, Deaktiviert | 1.1.2 |
| Containerregistrierungen dürfen keinen uneingeschränkten Netzwerkzugriff zulassen | Azure Containerregistrierungen akzeptieren standardmäßig Verbindungen über das Internet von Hosts in jedem Netzwerk. Lassen Sie den Zugriff nur über bestimmte private Endpunkte, öffentliche IP-Adressen oder Adressbereiche zu, um Ihre Registrierungen vor potenziellen Bedrohungen zu schützen. Wenn Ihre Registrierung nicht über konfigurierte Netzwerkregeln verfügt, wird sie unter den fehlerhaften Ressourcen aufgeführt. Weitere Informationen zu Containerregistrierungsnetzwerkregeln finden Sie hier: https://aka.ms/acr/privatelinkundhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Containerregistrierungen sollten eine private Verbindung verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die private Link-Plattform verarbeitet die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch die Zuordnung privater Endpunkte zu Ihren Containerregistrierungen anstelle des gesamten Diensts werden Sie auch vor Datenleckrisiken geschützt. Weitere Informationen finden Sie unter https://aka.ms/acr/private-link. | Audit, deaktiviert | 1.0.1 |
| Für Cosmos DB-Datenbankkonten sollten lokale Authentifizierungsmethoden deaktiviert sein | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass Cosmos DB-Datenbankkonten ausschließlich Azure Active Directory Identitäten für die Authentifizierung benötigen. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| CosmosDB-Konten müssen Private Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem CosmosDB -Konto wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, deaktiviert | 1.0.0 |
| Diagnostische Protokolle in Azure KI Services Ressourcen sollten aktiviert sein | Aktivieren Sie Protokolle für Azure KI Services-Ressourcen. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 1.2.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Erzwingen einer SSL-Verbindung muss für MySQL-Datenbankserver aktiviert sein | Azure Database for MySQL unterstützt die Verbindung Ihres Azure Database for MySQL Servers mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, deaktiviert | 1.0.1 |
| Erzwingen einer SSL-Verbindung muss für PostgreSQL-Datenbankserver aktiviert sein | Azure Database for PostgreSQL unterstützt die Verbindung Ihres Azure Database for PostgreSQL Servers mit Clientanwendungen mit Secure Sockets Layer (SSL). Durch das Erzwingen von SSL-Verbindungen zwischen Ihrem Datenbankserver und Ihren Clientanwendungen können Sie sich vor Man-in-the-Middle-Angriffen schützen, indem Sie den Datenstrom zwischen dem Server und Ihrer Anwendung verschlüsseln. Diese Konfiguration erzwingt, dass SSL für den Zugriff auf Ihren Datenbankserver immer aktiviert ist. | Audit, deaktiviert | 1.0.1 |
| Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Deaktiviert | 1.1.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Verweigern | 5.1.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Deaktiviert | 2.3.0 |
| mit Azure Database for MariaDB können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, deaktiviert | 1.0.1 | |
| mit Azure Database for MySQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, deaktiviert | 1.0.1 | |
| mit Azure Database for PostgreSQL können Sie die Redundanzoption für Ihren Datenbankserver auswählen. Sie kann auf einen georedundanten Sicherungsspeicher festgelegt werden, in dem die Daten nicht nur in der Region gespeichert werden, in der Ihr Server gehostet wird, sondern auch in eine gekoppelte Region repliziert werden, um die Wiederherstellungsoption bei einem Regionsausfall bereitzustellen. Das Konfigurieren von georedundantem Speicher für die Sicherung ist nur während der Erstellung des Servers zulässig. | Audit, deaktiviert | 1.0.1 | |
| Guest-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Guest-Konten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Guest-Konten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden". Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Key Vault schlüssel sollten ein Ablaufdatum aufweisen | Kryptografische Schlüssel sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Schlüssel, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, um den Schlüssel zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für kryptografische Schlüssel ein Ablaufdatum festgelegt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| Key Vault geheimen Schlüsseln sollte ein Ablaufdatum aufweisen | Geheimnisse sollten ein definiertes Ablaufdatum aufweisen und nicht dauerhaft sein. Geheimnisse, die immer gültig sind, bieten einem potenziellen Angreifer mehr Zeit, sie zu kompromittieren. Als empfohlene Sicherheitsmethode sollte für Geheimnisse ein Ablaufdatum festgelegt werden. | Überprüfen, Verweigern, Deaktiviert | 1.0.2 |
| Für Schlüsseltresore sollte der Löschschutz aktiviert sein. | Das böswillige Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Sie können dauerhaften Datenverlust verhindern, indem Sie den Löschschutz und das vorläufige Löschen aktivieren. Der Löschschutz schützt Sie vor Insiderangriffen, indem ein verbindlicher Aufbewahrungszeitraum für vorläufig gelöschte Schlüsseltresore durchgesetzt wird. Niemand innerhalb Ihrer Organisation oder Microsoft kann Ihre Schlüsseltresor während des Aufbewahrungszeitraums für vorläufige Löschungen löschen. Beachten Sie, dass für Schlüsseltresore, die nach dem 1. September 2019 erstellt wurden, das vorläufige Löschen standardmäßig aktiviert ist. | Überprüfen, Verweigern, Deaktiviert | 2.1.0 |
| Für Schlüsseltresore sollte vorläufiges Löschen aktiviert sein. | Wenn Sie einen Schlüsseltresor löschen und vorläufiges Löschen nicht aktiviert ist, werden alle Geheimnisse, Schlüssel und Zertifikate, die im Schlüsseltresor gespeichert sind, dauerhaft gelöscht. Das versehentliche Löschen eines Schlüsseltresors kann zu dauerhaftem Datenverlust führen. Vorläufiges Löschen ermöglicht es Ihnen, einen versehentlich gelöschten Schlüsseltresor innerhalb des konfigurierbaren Aufbewahrungszeitraums wiederherzustellen. | Überprüfen, Verweigern, Deaktiviert | 3.1.0 |
| CPU- und Arbeitsspeicherressourcen für Container in einem Kubernetes-Cluster dürfen die angegebenen Limits nicht überschreiten | Hiermit werden Ressourcenlimits für Container-CPU und Arbeitsspeicher erzwungen, um Ressourcenauslastungsangriffe in einem Kubernetes-Cluster zu verhindern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Kubernetes-Clustercontainer sollten keine Hostnamespaces freigeben | Blockieren sie die Freigabe des Hostprozess-ID-Namespace, des Host-IPC-Namespace und des Hostnetzwerknamespaces in einem Kubernetes-Cluster. Diese Empfehlung entspricht den Kubernetes Pod Security Standards für Hostnamespaces und ist Teil von CIS 5.2.1, 5.2.2 und 5.2.3, die die Sicherheit Ihrer Kubernetes-Umgebungen verbessern sollen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 6.0.0 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige AppArmor-Profile verwenden | Hiermit wird sichergestellt, dass Container nur zugelassene AppArmor-Profile in einem Kubernetes-Cluster verwenden dürfen. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.1 |
| Container in einem Kubernetes-Cluster dürfen nur zulässige Funktionen verwenden | Hiermit wird durch eine Einschränkung von Funktionen die Angriffsfläche von Containern in einem Kubernetes-Cluster verringert. Diese Empfehlung ist Bestandteil von CIS 5.2.8 und CIS 5.2.9, mit denen die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Container in einem Kubernetes-Cluster dürfen nur zugelassene Images verwenden | Hiermit werden Images aus vertrauenswürdigen Registrierungen verwendet. So wird das Risiko einer Einführung unbekannter Schwachstellen, Sicherheitsprobleme und schädlicher Images für Ihren Kubernetes-Clusters verringert. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.3.0 |
| Container im Kubernetes-Cluster müssen mit einem schreibgeschützten Stammdateisystem ausgeführt werden | Hiermit werden Container mit einem schreibgeschützten Stammdateisystem ausgeführt. So werden Container vor Änderungen zur Laufzeit geschützt, bei denen in einem Kubernetes-Cluster schädliche Binärdateien in PATH eingefügt werden. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Für hostPath-Volumes von Pods in einem Kubernetes-Cluster dürfen nur zulässige Hostpfade verwendet werden | Hiermit wird die Bereitstellung von Pod HostPath-Volumes auf die zugelassenen Hostpfade in einem Kubernetes-Cluster beschränkt. Diese Richtlinie ist allgemein für Kubernetes Service (AKS) und Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.3.0 |
| Pods und Container in einem Kubernetes-Cluster dürfen nur mit genehmigten Benutzer- und Gruppen-IDs ausgeführt werden | Hiermit werden die IDs für Benutzer, primäre Gruppen, zusätzliche Gruppen und Dateisystemgruppen gesteuert, die Pods und Container zur Ausführung in einem Kubernetes-Cluster verwenden können. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 6.2.0 |
| Kubernetes-Cluster-Pods sollten nur genehmigte Hostnetzwerk- und Portliste verwenden | Einschränken des Podzugriffs auf das Hostnetzwerk und die zulässigen Hostports in einem Kubernetes-Cluster. Diese Empfehlung ist Teil von CIS 5.2.4, das die Sicherheit Ihrer Kubernetes-Umgebungen verbessern und mit Pod Security Standards (PSS) für hostPorts übereinstimmt. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 7.0.0 |
| Kubernetes-Clusterdienste dürfen nur an zugelassenen Ports lauschen | Hiermit wird erzwungen, dass Dienste nur an zugelassenen Ports lauschen können, um den Zugriff auf den Kubernetes-Cluster abzusichern. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 8.2.0 |
| Kubernetes-Cluster dürfen keine privilegierten Container zulassen | Hiermit wird verhindert, dass privilegierte Container in einem Kubernetes-Cluster erstellt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.1, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 9.2.0 |
| Auf Kubernetes-Cluster sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Authentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Diese Funktion ist derzeit allgemein für Kubernetes Service (AKS) und in der Vorschau für Azure Arc aktivierte Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 9.0.0 |
| Für Kubernetes-Cluster muss die automatische Bereitstellung von API-Anmeldeinformationen deaktiviert werden | Deaktivieren Sie die automatische Bereitstellung von API-Anmeldeinformationen, damit eine potenziell kompromittierte Podressource keine API-Befehle für Kubernetes-Cluster ausführen kann. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Kubernetes-Cluster dürfen keine Rechteausweitung zulassen | Hiermit wird verhindert, dass Container mit einer Rechteausweitung auf „Root“ in einem Kubernetes-Cluster ausgeführt werden. Diese Empfehlung ist Bestandteil von CIS 5.2.5, mit dem die Sicherheit Ihrer Kubernetes-Umgebungen verbessert werden soll. Diese Richtlinie ist in der Regel für Kubernetes Service (AKS) und eine Vorschau für Azure Arc aktivierten Kubernetes verfügbar. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | Überprüfen, Verweigern, Deaktiviert | 8.0.0 |
| Kubernetes-Cluster sollten keine CAP_SYS_ADMIN-Sicherheitsfunktionen gewähren | Schränken Sie CAP_SYS_ADMIN-Linux-Funktionen ein, um die Angriffsfläche Ihrer Container zu verringern. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 5.1.0 |
| Kubernetes-Cluster dürfen nicht den Standardnamespace verwenden | Verhindern Sie die Verwendung des Standardnamespace in Kubernetes-Clustern, um ConfigMap-, Pod-, Geheimnis-, Dienst- und Dienstkontoressourcen vor einem nicht autorisierten Zugriff zu schützen. Weitere Informationen finden Sie unter https://aka.ms/kubepolicydoc. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 4.2.0 |
| Linux-Computer sollten die Anforderungen für die Azure Computesicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. | AuditIfNotExists, Deaktiviert | 2.3.1 |
| Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.2.1 | |
| Computer sollten so konfiguriert werden, dass regelmäßig nach fehlenden Systemupdates gesucht wird | Um sicherzustellen, dass regelmäßige Bewertungen fehlender Systemupdates automatisch alle 24 Stunden ausgelöst werden, sollte die AssessmentMode-Eigenschaft auf „AutomaticByPlatform“ festgelegt werden. Weitere Informationen zur AssessmentMode-Eigenschaft für Windows: https://aka.ms/computevm-windowspatchassessmentmode, für Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Überprüfen, Verweigern, Deaktiviert | 3.9.0 |
| Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Der Mögliche Netzwerkzugriff just In Time (JIT) wird von Azure Security Center als Empfehlungen überwacht. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Microsoft Defender CSPM sollte aktiviert sein | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für APIs sollte aktiviert sein | Microsoft Defender für APIs bietet neue Erkennungs-, Schutz-, Erkennungs- und Reaktionsabdeckungen, um auf allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für SQL sollte für nicht geschützte Synapse-Arbeitsbereiche aktiviert sein | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Ihre Synapse SQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für den Speicher sollte aktiviert sein | Microsoft Defender für Speicher erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Die neue Defender für den Speicherplan umfasst Schadsoftwareüberprüfung und die Erkennung vertraulicher Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| MySQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer MySQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Deaktiviert | 1.0.4 |
| Network Watcher sollte aktiviert sein | Network Watcher ist ein regionaler Dienst, mit dem Sie Bedingungen auf Netzwerkszenarioebene in, in und von Azure aus überwachen und diagnostizieren können. Die Überwachung auf Szenarioebene erlaubt die umfassende Diagnose von Problemen auf Netzwerkebene. Es muss eine Network Watcher-Ressourcengruppe in jeder Region erstellt werden, in der ein virtuelles Netzwerk vorhanden ist. Wenn eine Network Watcher-Ressourcengruppe in einer bestimmten Region nicht verfügbar ist, wird eine Warnung angezeigt. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Only sichere Verbindungen mit Ihrem Azure Cache for Redis sollten aktiviert sein | Überwachen der Aktivierung von nur Verbindungen über SSL zum Azure Cache for Redis. Durch die Verwendung sicherer Verbindungen wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, wie z.B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| PostgreSQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden | Verwenden Sie kundenseitig verwaltete Schlüssel, um die Verschlüsselung ruhender Daten Ihrer PostgreSQL-Server zu verwalten. Standardmäßig werden die Daten im Ruhezustand mit dienstseitig verwalteten Schlüsseln verschlüsselt. Kundenseitig verwaltete Schlüssel sind jedoch häufig zur Einhaltung gesetzlicher Bestimmungen erforderlich. Mit vom Kunden verwalteten Schlüsseln können die Daten mit einem von Ihnen erstellten Azure Key Vault Schlüssel verschlüsselt werden. Sie verfügen über die volle Kontrolle über und Verantwortung für den Schlüssellebenszyklus, einschließlich Rotation und Verwaltung. | AuditIfNotExists, Deaktiviert | 1.0.4 |
| Private-Endpunktverbindungen auf Azure SQL-Datenbank sollten aktiviert sein | Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure SQL-Datenbank ermöglicht wird. | Audit, deaktiviert | 1.1.0 |
| Privater Endpunkt muss für MariaDB-Server aktiviert sein | Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for MariaDB aktiviert wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Privater Endpunkt muss für MySQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for MySQL ermöglicht wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Privater Endpunkt muss für PostgreSQL-Server aktiviert sein | Private Endpunktverbindungen erzwingen sichere Kommunikation, indem private Konnektivität zum Azure Database for PostgreSQL aktiviert wird. Konfigurieren Sie eine private Endpunktverbindung, um den Zugriff auf Datenverkehr nur aus bekannten Netzwerken zu ermöglichen und den Zugriff von allen anderen IP-Adressen, einschließlich innerhalb Azure, zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Public-Netzwerkzugriff auf Azure SQL-Datenbank sollte deaktiviert werden | Durch Deaktivieren der Eigenschaft für den Zugriff auf das öffentliche Netzwerk wird die Sicherheit verbessert, indem sichergestellt wird, dass ihre Azure SQL-Datenbank nur über einen privaten Endpunkt aufgerufen werden kann. Durch diese Konfiguration werden alle Anmeldungen abgelehnt, die auf IP-Adressen oder virtuellen Netzwerken basierenden Firewallregeln entsprechen. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Öffentlicher Netzwerkzugriff muss für MariaDB-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for MariaDB nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für MySQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for MySQL nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert streng den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Öffentlicher Netzwerkzugriff muss für PostgreSQL-Server deaktiviert sein | Deaktivieren Sie die Eigenschaft für den Zugriff auf das öffentliche Netzwerk, um die Sicherheit zu verbessern, und stellen Sie sicher, dass auf Ihre Azure Database for PostgreSQL nur von einem privaten Endpunkt aus zugegriffen werden kann. Diese Konfiguration deaktiviert den Zugriff von jedem öffentlichen Adressraum außerhalb Azure IP-Bereichs und verweigert alle Anmeldungen, die ip- oder netzwerkbasierte Firewallregeln entsprechen. | Überprüfen, Verweigern, Deaktiviert | 2.0.1 |
| Resource-Protokolle im Azure Data Lake Store sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Protokolle in Azure Databricks Arbeitsbereichen sollten aktiviert sein | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Protokolle in Azure Kubernetes Service sollten aktiviert sein | Die Ressourcenprotokolle von Azure Kubernetes Service können beim Untersuchen von Sicherheitsvorfällen dabei helfen, Aktivitätspfade neu zu erstellen. Aktivieren Sie diese Option, um sicherzustellen, dass die Protokolle bei Bedarf vorhanden sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Ressourcenprotokolle in Azure Machine Learning Arbeitsbereichen sollten aktiviert sein | Ressourcenprotokolle ermöglichen es, vergangene Aktivitäten nachzuvollziehen, wenn es zu einem Sicherheitsvorfall kommt oder Ihr Netzwerk kompromittiert wird. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Protokolle in Azure Stream Analytics sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| In Batch-Konten müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Protokolle in Data Lake Analytics sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| In Event Hub müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Protokolle in IoT Hub sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 3.1.0 |
| Protokolle in Key Vault sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| In Logic Apps müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.1.0 |
| In Suchdiensten müssen Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Protokolle in Service Bus sollten aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn es zu einem Sicherheitsincident kommt oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Deaktiviert | 5.0.0 |
| Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | Verwenden Sie Role-Based Access Control (RBAC) zum Verwalten von Berechtigungen in Kubernetes-Dienstclustern und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. | Audit, deaktiviert | 1.1.0 |
| Sichere Übertragung in Speicherkonten sollte aktiviert werden | Hiermit wird die Anforderung sicherer Übertragungen in Ihren Speicherkonto überwacht. Sichere Übertragung ist eine Option, die erzwingt, dass Ihr Storage-Konto nur Anforderungen von sicheren Verbindungen (HTTPS) akzeptiert. Durch die Verwendung von HTTPS wird eine Authentifizierung zwischen dem Server und dem Dienst sichergestellt, und die übertragenen Daten werden vor Angriffen auf Netzwerkebene geschützt, z. B. Man-in-the-Middle-Angriffe, Abhörangriffe und Session Hijacking. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Der Dienst Fabric bietet drei Schutzebenen (None, Sign and EncryptAndSign) für die Kommunikation zwischen Knoten und Knoten mithilfe eines primären Clusterzertifikats. Legen Sie die Schutzebene fest, um sicherzustellen, dass alle zwischen Knoten übertragenen Nachrichten verschlüsselt und digital signiert werden. | Überprüfen, Verweigern, Deaktiviert | 1.1.0 | |
| Service-Fabric-Cluster sollten nur Azure Active Directory für die Clientauthentifizierung verwenden | Überwachen der Verwendung der Clientauthentifizierung nur über Azure Active Directory in Service Fabric | Überprüfen, Verweigern, Deaktiviert | 1.1.0 |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Deaktiviert | 4.1.0 |
| Verwaltete SQL-Instanzen sollten kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Durch die Implementierung von Transparent Data Encryption (TDE) mit Ihrem eigenen Schlüssel erhalten Sie mehr Transparenz und Kontrolle über die TDE-Schutzkomponente, eine erhöhte Sicherheit mit einem HSM-gesicherten externen Dienst und die Förderung der Trennung von Aufgaben. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Die automatische Bereitstellung von SQL-Servern sollte für SQL-Server auf dem Computerplan aktiviert sein. | Um sicherzustellen, dass Ihre SQL-VMs und arcfähigen SQL-Server geschützt sind, stellen Sie sicher, dass der SQL-gezielte Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| SQL Server-Instanzen müssen kundenseitig verwaltete Schlüssel zur Verschlüsselung ruhender Daten verwenden. | Die Implementierung von Transparent Data Encryption (TDE) mit Ihrem eigenen Schlüssel bietet erhöhte Transparenz und Kontrolle über die TDE-Schutzkomponente, erhöhte Sicherheit mit einem HSM-gesicherten externen Dienst und Förderung der Trennung von Aufgaben. Diese Empfehlung gilt für Organisationen mit entsprechenden Complianceanforderungen. | Überprüfen, Verweigern, Deaktiviert | 2.0.1 |
| Für SQL Server-Instanzen mit Überwachung im Speicherkontoziel muss die Datenaufbewahrung auf mindestens 90 Tage festgelegt werden | Für Die Untersuchung von Vorfällen empfehlen wir, die Datenaufbewahrung für die Überwachung Ihrer SQL Server auf das Ziel des Speicherkontos auf mindestens 90 Tage festzulegen. Stellen Sie sicher, dass Sie die erforderlichen Aufbewahrungsregeln für die Regionen einhalten, in denen Sie tätig sind. Dies ist gelegentlich zur Einhaltung gesetzlicher Standards erforderlich. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Der öffentliche Zugriff auf Speicherkonten muss untersagt sein | Anonymer öffentlicher Lesezugriff auf Container und Blobs in Azure Storage ist eine bequeme Möglichkeit zum Freigeben von Daten, kann aber Sicherheitsrisiken darstellen. Um Datenschutzverletzungen zu verhindern, die durch unerwünschten anonymen Zugriff verursacht werden, empfiehlt Microsoft, den öffentlichen Zugriff auf ein Speicherkonto zu verhindern, es sei denn, Ihr Szenario erfordert es. | überprüfen, Überprüfung, verweigern, Verweigerung, deaktiviert, Deaktivierung | 3.1.1 |
| Storage-Konten sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre Speicherkonten, um Sicherheitsverbesserungen bereitzustellen, z. B.: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf Schlüsseltresor für geheime Schlüssel, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern | Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Speicherkonten sollten den Zugriff auf gemeinsam genutzte Schlüssel verhindern (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | Überwachungsanforderung von Azure Active Directory (Azure AD), um Anforderungen für Ihr Speicherkonto zu autorisieren. Standardmäßig können Anforderungen entweder mit Azure Active Directory Anmeldeinformationen oder mithilfe des Kontozugriffsschlüssels für die Autorisierung gemeinsam genutzter Schlüssel autorisiert werden. Von diesen beiden Autorisierungstypen bietet Azure AD eine überlegene Sicherheit und Benutzerfreundlichkeit gegenüber dem freigegebenen Schlüssel und wird von Microsoft empfohlen. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Netzwerkzugriff auf Speicherkonten einschränken | Der Netzwerkzugriff auf Speicherkonten sollte eingeschränkt werden. Konfigurieren Sie Netzwerkregeln, sodass nur Anwendungen aus zulässigen Netzwerken auf ein Speicherkonto zugreifen können. Um Verbindungen von bestimmten Internet- oder lokalen Clients zuzulassen, kann der Zugriff auf den Datenverkehr von bestimmten Azure virtuellen Netzwerken oder öffentlichen Internet-IP-Adressbereichen gewährt werden. | Überprüfen, Verweigern, Deaktiviert | 1.1.1 |
| Speicherkonten müssen den Netzwerkzugriff mithilfe von VNET-Regeln einschränken | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 1.0.1 |
| Speicherkonten sollten den Netzwerkzugriff mithilfe von Regeln für virtuelle Netzwerke einschränken (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | Hiermit werden Ihre Speicherkonten vor potenziellen Bedrohungen geschützt, indem anstelle einer auf IP-Adressen basierenden Filterung VNET-Regeln als bevorzugte Methode verwendet werden. Durch das Deaktivieren der auf IP-Adressen basierenden Filterung wird verhindert, dass öffentliche IP-Adressen auf Ihre Speicherkonten zugreifen können. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Speicherkonten müssen für die Verschlüsselung einen kundenseitig verwalteten Schlüssel verwenden | Schützen Sie Ihr Blob und Speicherkonto mithilfe von kundenseitig verwalteten Schlüsseln, um die Flexibilität zu erhöhen. Wenn Sie einen vom Kunden verwalteten Schlüssel angeben, wird dieser zum Schützen und Steuern des Zugriffs auf den Schlüssel verwendet, mit dem Ihre Daten verschlüsselt werden. Die Verwendung von kundenseitig verwalteten Schlüsseln bietet zusätzliche Funktionen zum Steuern der Rotation des Schlüsselverschlüsselungsschlüssels oder zum kryptografischen Löschen von Daten. | Audit, deaktiviert | 1.0.3 |
| Speicherkonten müssen Private Link verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Speicherkonten sollten einen privaten Link verwenden (mit Ausnahme von Speicherkonten, die von Databricks erstellt wurden) | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihrem Speicherkonto wird das Risiko von Datenlecks verringert. Weitere Informationen zu Private Link finden Sie unter https://aka.ms/azureprivatelinkoverview. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der Access Control List (ACL)-Regeln, die den Netzwerkdatenverkehr zu Ihrem Subnetz zulassen oder verweigern. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Synapse-Arbeitsbereiche sollten Microsoft Entra-only-Authentifizierung aktiviert sein | Für Synapse-Arbeitsbereiche muss Microsoft Entra nur die Authentifizierung verwendet werden. Diese Richtlinie verhindert nicht, dass Arbeitsbereiche mit aktivierter lokaler Authentifizierung erstellt werden. Nach dem Erstellen verhindert sie, dass die lokale Authentifizierung für Ressourcen aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Synapse-Arbeitsbereiche sollten nur Microsoft Entra Identitäten für die Authentifizierung während der Arbeitsbereicherstellung verwenden | Erfordern, dass Synapse-Arbeitsbereiche mit Microsoft Entra Authentifizierung erstellt werden. Diese Richtlinie verhindert nicht, dass die lokale Authentifizierung nach dem Erstellen für Ressourcen erneut aktiviert wird. Erwägen Sie stattdessen die Verwendung der Initiative "Microsoft Entra-only-Authentifizierung", um beides zu erfordern. Weitere Informationen finden Sie unter https://aka.ms/Synapse. | Überprüfen, Verweigern, Deaktiviert | 1.2.0 |
| Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Transparent Data Encryption in SQL-Datenbanken sollte aktiviert sein | TDE (Transparent Data Encryption) sollte aktiviert werden, um ruhende Daten zu schützen und Konformitätsanforderungen zu erfüllen. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Für VMs und VM-Skalierungsgruppen muss die Verschlüsselung auf dem Host aktiviert sein | Verwenden Sie die Verschlüsselung auf dem Host, um eine End-to-End-Verschlüsselung für die Daten Ihrer VMs und VM-Skalierungsgruppen zu erzielen. Die Verschlüsselung auf dem Host ermöglicht die Verschlüsselung ruhender Daten für die Caches Ihrer temporären Datenträger und Ihrer Datenträger für Betriebssystem und Daten. Temporäre und kurzlebige Betriebssystemdatenträger werden mit plattformseitig verwalteten Schlüsseln verschlüsselt, wenn die Verschlüsselung auf dem Host aktiviert ist. Die Caches der Datenträger für Betriebssystem und Daten werden im Ruhezustand entweder mit einem kundenseitig oder einem plattformseitig verwalteten Schlüssel verschlüsselt. Dies richtet sich danach, welcher Verschlüsselungstyp für den Datenträger ausgewählt wurde. Weitere Informationen finden Sie unter https://aka.ms/vm-hbe. | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Virtual-Computer sollten zu neuen Azure Resource Manager Ressourcen migriert werden | Verwenden Sie neue Azure Resource Manager für Ihre virtuellen Computer, um Sicherheitsverbesserungen wie: stärkere Zugriffssteuerung (RBAC), bessere Überwachung, Azure Resource Manager basierte Bereitstellung und Governance, Zugriff auf verwaltete Identitäten, Zugriff auf schlüsseltresor für Geheime Schlüsseltresor, Azure AD-basierte Authentifizierung und Unterstützung für Tags und Ressourcengruppen zur einfacheren Sicherheitsverwaltung | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Azure virtuellen Computer im Bereich dieser Richtlinie sind nicht kompatibel, wenn die Gastkonfigurationserweiterung installiert ist, aber keine verwaltete Identität des Systems zugewiesen ist. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| VM Image Builder-Vorlagen müssen eine private Verbindung verwenden | mit Azure Private Link können Sie Ihr virtuelles Netzwerk mit Azure Diensten ohne öffentliche IP-Adresse an der Quelle oder am Ziel verbinden. Die Private Link-Plattform behandelt die Konnektivität zwischen Consumer und Diensten über das Azure Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Ihren VM Image Builder-Erstellungsressourcen wird das Risiko von Datenlecks verringert. Weitere Informationen zu privaten Verbindungen finden Sie unter https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Verweigern | 1.1.0 |
| VPN-Gateways sollten nur Azure Active Directory (Azure AD)-Authentifizierung für Point-to-Site-Benutzer verwenden | Durch das Deaktivieren lokaler Authentifizierungsmethoden wird die Sicherheit verbessert, indem sichergestellt wird, dass VPN-Gateways nur Azure Active Directory Identitäten für die Authentifizierung verwenden. Weitere Informationen zur Azure AD-Authentifizierung finden Sie unter https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Überprüfen, Verweigern, Deaktiviert | 1.0.0 |
| Überwachen Sie jede SQL Managed Instance, für die keine wiederkehrenden Überprüfungen zur Sicherheitsrisikobewertung aktiviert sind. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Deaktiviert | 1.0.1 | |
| Für Ihre SQL Server-Instanzen muss eine Sicherheitsrisikobewertung aktiviert sein | Überwachen Sie Azure SQL Server, auf denen keine Sicherheitsrisikobewertung ordnungsgemäß konfiguriert ist. Die Sicherheitsrisikobewertung kann Sie dabei unterstützen, potenzielle Sicherheitsrisiken für Datenbanken zu erkennen, nachzuverfolgen und zu beheben. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Web Application Firewall (WAF) sollte für das Anwendungsgateway aktiviert sein | Stellen Sie Azure Web Application Firewall (WAF) vor öffentlich zugänglichen Webanwendungen bereit, um eingehenden Datenverkehr zu überprüfen. Web Application Firewall (WAF) bietet einen zentralen Schutz Ihrer Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügungen, Websiteübergreifende Skripting, lokale und Remotedateiausführungen. Sie können den Zugriff auf Ihre Webanwendungen mit benutzerdefinierten Regeln auch nach Land, IP-Adressbereich und anderen HTTP(S)-Parametern einschränken. | Überprüfen, Verweigern, Deaktiviert | 2.0.0 |
| Windows Defender Exploit Guard sollte auf Ihren Computern aktiviert sein | Windows Defender Exploit Guard verwendet den Azure Policy Gastkonfigurations-Agent. Exploit Guard verfügt über vier Komponenten, die für das Sperren von Geräten gegen eine Vielzahl von Angriffsvektoren ausgelegt sind und verhaltensweisen blockieren, die häufig bei Schadsoftwareangriffen verwendet werden, während Unternehmen ihre Sicherheitsrisiken und Produktivitätsanforderungen ausgleichen können (nur Windows). | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Windows Computer sollten so konfiguriert werden, dass sichere Kommunikationsprotokolle verwendet werden | Um den Schutz von Informationen zu gewährleisten, die über das Internet kommuniziert werden, sollten Ihre Maschinen die neueste Version des Industriestandard-Verschlüsselungsprotokolls „TLS“ (Transport Layer Security) verwenden. TLS sichert die Kommunikation über ein Netzwerk, indem eine Verbindung zwischen Computern verschlüsselt wird. | AuditIfNotExists, Deaktiviert | 4.1.1 |
| Windows Computer sollten die Anforderungen der Azure Computesicherheitsbaseline erfüllen | Erfordert, dass die erforderlichen Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. Computer sind nicht konform, wenn der Computer für eine der Empfehlungen in der Azure Berechnungssicherheitsgrundlinie nicht ordnungsgemäß konfiguriert ist. | AuditIfNotExists, Deaktiviert | 2.1.1 |
| Obwohl die Datenträger für das Betriebssystem und für die Daten eines virtuellen Computers standardmäßig im Ruhezustand mithilfe von plattformseitig verwalteten Schlüsseln verschlüsselt werden; Ressourcendatenträger (temporäre Datenträger), Datencaches und Daten, die zwischen Compute- und Speicherressourcen übertragen werden, werden nicht verschlüsselt. Verwenden Sie Azure Disk Encryption oder EncryptionAtHost zum Beheben. Besuchen Sie https://aka.ms/diskencryptioncomparison, um die Verschlüsselungsangebote zu vergleichen. Für diese Richtlinie müssen zwei erforderliche Komponenten im Bereich der Richtlinienzuweisung bereitgestellt werden. Ausführliche Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.1.1 |
kategorie Microsoft Defender for Cloud
| Name (Azure Portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrem Linux Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Linux Arc-Computern, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Die ChangeTracking-Erweiterung sollte auf Ihrer Linux-VM installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf virtuellen Linux-Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: ChangeTracking-Erweiterung sollte auf Ihrem Windows Arc-Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows Arc-Computern, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: ChangeTracking-Erweiterung sollte auf Ihrem Windows virtuellen Computer installiert sein | Installieren Sie die ChangeTracking-Erweiterung auf Windows virtuellen Computern, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren von Azure Defender für SQL-Agent auf virtuellem Computer | Konfigurieren Sie Windows Computer so, dass die Azure Defender für DEN SQL-Agent, auf dem der Azure Monitor Agent installiert ist, automatisch installiert wird. Security Center sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsempfehlungen bereitzustellen. Erstellt eine Ressourcengruppe und Log Analytics Arbeitsbereich in derselben Region wie der Computer. Ziel-VMs müssen sich an einem unterstützten Standort befinden. | DeployIfNotExists, deaktiviert | 1.0.0-preview |
| [Vorschau]: Unterstützte Linux-VM-Skalierungsgruppen zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer skalierungssätze, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 6.1.0-preview |
| [Vorschau]: Unterstützte Linux-VMs konfigurieren, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass „Sicherer Start“ automatisch aktiviert wird, um schädliche und nicht autorisierte Änderungen an der Startkette zu verhindern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, deaktiviert | 5.0.0-preview |
| [Vorschau]: Unterstützte Linux-VMs zum automatischen Installieren der Erweiterung für den Gastnachweis konfigurieren | Konfigurieren Sie unterstützte virtuelle Linux-Computer so, dass die Erweiterung für den Gastnachweis automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 7.1.0-preview |
| [Vorschau]: Unterstützte VMs konfigurieren, um vTPM automatisch zu aktivieren | Konfigurieren Sie unterstützte virtuelle Computer so, dass vTPM automatisch aktiviert wird, um „Kontrollierter Start“ und andere Sicherheitsfeatures des Betriebssystems zu erleichtern, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. | DeployIfNotExists, deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren unterstützter Windows Skalierungsgruppen für virtuelle Computer, um die Erweiterung für den Gastnachweis automatisch zu installieren | Konfigurieren Sie unterstützte Windows VM-Skalierungsgruppen, um die Erweiterung für den Gastnachweis automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 4.1.0-preview |
| [Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um den sicheren Start automatisch zu aktivieren | Konfigurieren Sie unterstützte Windows virtuellen Computer, um den sicheren Start automatisch zu aktivieren, um böswillige und nicht autorisierte Änderungen an der Startkette zu vermeiden. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. | DeployIfNotExists, deaktiviert | 3.0.0-preview |
| [Vorschau]: Konfigurieren von unterstützten Windows virtuellen Computern, um die Erweiterung für den Gastnachweis automatisch zu installieren | Konfigurieren Sie unterstützte Windows virtuellen Computern so, dass die Erweiterung "Gastnachweis" automatisch installiert wird, damit Azure Security Center proaktiv die Startintegrität bestätigen und überwachen können. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 5.1.0-preview |
| [Vorschau]: Konfigurieren von virtuellen Computern, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren | Konfigurieren Sie virtuelle Computer, die mit Shared Image Gallery-Images erstellt wurden, um die Erweiterung "Gastnachweis" automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 2.0.0-preview |
| [Vorschau]: Konfigurieren von VMSS, die mit Shared Image Gallery Images erstellt wurden, um die Erweiterung "Gastnachweis" zu installieren | Konfigurieren Sie VMSS, die mit Shared Image Gallery-Images erstellt wurde, um die Gastnachweiserweiterung automatisch zu installieren, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Der Nachweis der Startintegrität erfolgt per Remotenachweis. | DeployIfNotExists, deaktiviert | 2.1.0-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agent auf Linux-Hybridcomputern | Stellt Microsoft Defender for Endpoint Agent auf Linux-Hybridcomputern bereit | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.1-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents auf virtuellen Linux-Computern | Stellt Microsoft Defender for Endpoint Agent auf anwendbaren Linux-VM-Images bereit. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 3.0.0-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agents auf Windows Azure Arc Computern | Stellt Microsoft Defender for Endpoint auf Windows Azure Arc Computern bereit. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.1-preview |
| [Vorschau]: Bereitstellen Microsoft Defender for Endpoint Agent auf Windows virtuellen Computern | Stellt Microsoft Defender for Endpoint für anwendbare Windows VM-Images bereit. | BereitstellenWennNichtVorhanden, ÜberprüfenWennNichtVorhanden, Deaktiviert | 2.0.1-preview |
| [Vorschau]: Für unterstützte Linux-VMs muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VMs des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 6.0.0-preview |
| [Vorschau]: Für unterstützte Linux-VM-Skalierungsgruppen muss die Erweiterung für den Gastnachweis installiert sein | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Linux-Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Linux-VM-Skalierungsgruppen des Typs „Vertrauenswürdiger Start“ und „Vertraulich“. | AuditIfNotExists, Deaktiviert | 5.1.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows virtuellen Computern installiert werden | Installieren Sie die Erweiterung "Gastnachweis" auf unterstützten virtuellen Computern, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | AuditIfNotExists, Deaktiviert | 4.0.0-preview |
| [Vorschau]: Die Erweiterung "Gastnachweis" sollte auf unterstützten Windows vm scale sets installiert werden | Installieren Sie die Erweiterung für den Gastnachweis auf unterstützten virtuellen Computern skalierungssätze, um Azure Security Center proaktiv zu bestätigen und die Startintegrität zu überwachen. Nach der Installation erfolgt der Nachweis der Startintegrität per Remotenachweis. Diese Bewertung gilt für Skalierungssätze für vertrauenswürdige Starts und vertraulichen Windows virtuellen Computer. | AuditIfNotExists, Deaktiviert | 3.1.0-preview |
| [Vorschau]: Linux-VMs sollten nur signierte und vertrauenswürdige Startkomponenten verwenden | Alle Betriebssystem-Startkomponenten (Startladeprogramm, Kernel, Kerneltreiber) müssen von vertrauenswürdigen Herausgebern signiert werden. Defender for Cloud hat nicht vertrauenswürdige Betriebssystemstartkomponenten auf einem oder mehreren Ihrer Linux-Computer identifiziert. Um Ihre Computer vor potenziell schädlichen Komponenten zu schützen, fügen Sie sie Ihrer Positivliste hinzu, oder entfernen Sie die identifizierten Komponenten. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Linux-VMs sollten Secure Boot verwenden | Zum Schutz vor der Installation von auf Schadsoftware basierten Rootkits und Startkits aktivieren Sie „Sicherer Start“ auf unterstützten virtuellen Linux-Computern. „Sicherer Start“ stellt sicher, dass nur signierte Betriebssysteme und Treiber ausgeführt werden können. Diese Bewertung gilt nur für virtuelle Linux-Computer, auf denen der Azure Monitor Agent installiert ist. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Auf Computern sollten Ports geschlossen sein, die Angriffsvektoren verfügbar machen könnten | Azure Nutzungsbedingungen verbieten die Verwendung von Azure Diensten auf Die Weise, dass Microsoft Server oder das Netzwerk beschädigt, deaktiviert, überlastet oder beeinträchtigt werden kann. Die durch diese Empfehlung identifizierten verfügbar gemachten Ports müssen geschlossen werden, um die Sicherheit weiter zu erhöhen. Für jeden identifizierten Port enthält die Empfehlung auch eine Erläuterung der potenziellen Bedrohung. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Sicherer Start sollte auf unterstützten virtuellen Computern Windows aktiviert werden | Aktivieren Sie den sicheren Start auf unterstützten Windows virtuellen Computern, um böswillige und nicht autorisierte Änderungen an der Startkette abzumildern. Nach der Aktivierung ist nur die Ausführung von vertrauenswürdigen Bootloadern, Kerneln und Kerneltreibern zulässig. Diese Bewertung gilt für vertrauenswürdige Start- und vertrauliche Windows virtuellen Computern. | Audit, deaktiviert | 4.0.0-preview |
| [Vorschau]: Der Gastnachweisstatus der virtuellen Computer sollte fehlerfrei sein | Der Gastnachweis wird durchgeführt, indem ein vertrauenswürdiges Protokoll (TCGLog) an einen Nachweisserver gesendet wird. Der Server verwendet diese Protokolle zur Ermittlung, ob Startkomponenten vertrauenswürdig sind. Diese Bewertung dient dazu, Gefährdungen der Startkette zu erkennen, die das Ergebnis einer Startkit- oder Rootkit-Infektion sein könnten. Diese Bewertung gilt nur für virtuelle Computer mit aktiviertem vertrauenswürdigen Start, auf denen die Erweiterung für den Gastnachweis installiert ist. | AuditIfNotExists, Deaktiviert | 1.0.0-preview |
| [Vorschau]: Für unterstützte VMs muss ein virtuelles TPM-Gerät aktiviert werden | Aktivieren Sie ein virtuelles TPM-Gerät auf unterstützten virtuellen Computern, um die Nutzung von „Kontrollierter Start“ und anderen Sicherheitsfeatures des Betriebssystems zu ermöglichen, für die TPM erforderlich ist. Nach der Aktivierung kann ein virtuelles TPM verwendet werden, um die Startintegrität nachzuweisen. Diese Bewertung gilt nur für vertrauenswürdige startfähige VMs. | Audit, deaktiviert | 2.0.0-preview |
| Maximal 3 Besitzer sollten für Ihr Abonnement festgelegt sein | Es wird empfohlen, bis zu drei Abonnementbesitzer festzulegen, um die Möglichkeit einer Sicherheitsverletzung durch einen kompromittierten Besitzer zu verringern. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Auf Ihren virtuellen Computern muss eine Lösung zur Sicherheitsrisikobewertung installiert werden | Überwacht VMs, um zu ermitteln, ob eine unterstützte Lösung zur Sicherheitsrisikobewertung ausgeführt wird. Eine Kernkomponente jedes Cyberrisikos und jedes Sicherheitsprogramms ist die Identifizierung und Analyse von Sicherheitsrisiken. Azure Security Center Standardpreisstufe enthält Sicherheitsrisikoüberprüfungen für Ihre virtuellen Computer ohne zusätzliche Kosten. Darüber hinaus kann Azure Security Center dieses Tool automatisch für Sie bereitstellen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Alle Netzwerkports müssen auf Netzwerksicherheitsgruppen eingeschränkt werden, die Ihrer VM zugeordnet sind. | Azure Security Center hat einige der eingehenden Regeln Ihrer Netzwerksicherheitsgruppen als zu eingeschränkt identifiziert. Regeln für eingehenden Datenverkehr dürfen keinen Zugriff über die Bereiche „Beliebig“ oder „Internet“ zulassen. Dies kann es Angreifern ermöglichen, sich Zugang zu Ihren Ressourcen zu verschaffen. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| API-Endpunkte in Azure API Management sollten authentifiziert werden | API-Endpunkte, die in Azure API Management veröffentlicht wurden, sollten die Authentifizierung erzwingen, um das Sicherheitsrisiko zu minimieren. Authentifizierungsmechanismen werden manchmal falsch implementiert oder fehlen. Dies erlaubt Angreifern, Implementierungsfehler auszunutzen und auf Daten zuzugreifen. Weitere Informationen zur OWASP-API-Bedrohung für fehlerhafte Benutzerauthentifizierung finden Sie hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Deaktiviert | 1.0.1 |
| API-Endpunkte, die nicht verwendet werden, sollten deaktiviert und aus dem Azure API Management Dienst entfernt werden | Als bewährte Methode für sicherheit gelten API-Endpunkte, die keinen Datenverkehr für 30 Tage erhalten haben, als nicht verwendet und sollten aus dem Azure API Management Dienst entfernt werden. Die Beibehaltung nicht verwendeter API-Endpunkte kann ein Sicherheitsrisiko für Ihre Organisation darstellen. Dies können APIs sein, die vom Azure API Management Dienst veraltet sein sollten, aber versehentlich aktiv geblieben sind. Solche APIs erhalten in der Regel nicht die aktuellste Sicherheitsabdeckung. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Assign System Assigned Identity to SQL Virtual Machines | Weisen Sie die vom System zugewiesene Identität im Maßstab Windows virtuellen SQL-Computern zu. | DeployIfNotExists, deaktiviert | 1.0.0 |
| In Kubernetes Services müssen autorisierte IP-Adressbereiche definiert werden. | Hiermit schränken Sie den Zugriff auf die Kubernetes Service-Verwaltungs-API ein, indem Sie den API-Zugriff nur auf IP-Adressen in bestimmten Bereichen gewähren. Es wird empfohlen, den Zugriff auf autorisierte IP-Adressbereiche einzuschränken, um sicherzustellen, dass nur Anwendungen aus zugelassenen Netzwerken auf den Cluster zugreifen können. | Audit, deaktiviert | 2.0.1 |
| Azure DDoS Protection sollte aktiviert sein | DDoS Protection sollte für alle virtuellen Netzwerke mit einem Subnetz aktiviert werden, das Teil eines Anwendungsgateways mit einer öffentlichen IP-Adresse ist. | AuditIfNotExists, Deaktiviert | 3.0.1 |
| Azure Defender für App Service sollte aktiviert sein | Azure Defender für App Service nutzt den Umfang der Cloud und die Sichtbarkeit, die Azure als Cloudanbieter hat, um allgemeine Web-App-Angriffe zu überwachen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für Azure SQL-Datenbank Server sollte aktiviert sein | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Azure Defender für Key Vault sollte aktiviert sein | Azure Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für relationale Open-Source-Datenbanken sollten aktiviert sein | Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für Resource Manager sollte aktiviert sein | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für Server sollte aktiviert sein | Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Azure Defender für SQL-Server auf Computern sollte aktiviert sein | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Azure Defender für SQL sollte für nicht geschützte mySQL-flexible Server aktiviert sein | Überwachen von flexiblen MySQL-Servern ohne Advanced Data Security | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure Defender für SQL sollte für ungeschützte flexible PostgreSQL-Server aktiviert sein | Überwachen von flexiblen PostgreSQL-Servern ohne Advanced Data Security | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Azure-Registrierungscontainerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Das Beheben von Sicherheitsrisiken kann Ihren Sicherheitsstatus erheblich verbessern und sicherstellen, dass Images vor der Bereitstellung gefahrlos verwendet werden können. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Azure ausgeführte Containerimages sollten Sicherheitsrisiken behoben haben (unterstützt von Microsoft Defender Vulnerability Management) | Die Sicherheitsrisikobewertung von Containerimages überprüft Ihre Registrierung auf allgemein bekannte Sicherheitsrisiken (CVEs) und stellt einen detaillierten Sicherheitsrisikobericht für jedes Image bereit. Diese Empfehlung bietet Sichtbarkeit für anfällige Images, die derzeit in Ihren Kubernetes-Clustern ausgeführt werden. Das Beheben von Sicherheitsrisiken in Containerimages, die derzeit ausgeführt werden, ist der Schlüssel zur Verbesserung Ihres Sicherheitsstatus, wodurch die Angriffsoberfläche für Ihre Containerworkloads erheblich reduziert wird. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Blocked-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden | Veraltete Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Blocked-Konten mit Lese- und Schreibberechtigungen für Azure Ressourcen sollten entfernt werden | Veraltete Konten sollten aus Ihren Abonnements entfernt werden. Veraltete Konten sind Konten, bei denen die Anmeldung blockiert wurde. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| ChangeTracking-Erweiterung sollte auf Ihren virtuellen Linux-Computer-Skalierungssätzen installiert werden | Installieren Sie changeTracking Extension auf virtuellen Linux-Computer-Skalierungssätzen, um die Dateiintegritätsüberwachung (FILE Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| ChangeTracking-Erweiterung sollte auf Ihren Windows VM-Skalierungssätzen installiert werden | Installieren Sie die ChangeTracking-Erweiterung auf Windows Skalierungsgruppen für virtuelle Computer, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitoring Agent unterstützt werden. | AuditIfNotExists, Deaktiviert | 2.0.1 |
| Cloud Services-Rolleninstanzen (erweiterter Support) müssen sicher konfiguriert werden | Cloud Services-Rolleninstanzen (erweiterter Support) werden vor Angriffen geschützt, indem sichergestellt wird, dass sie keinen Schwachstellen im Betriebssystem ausgesetzt sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Für Cloud Services-Rolleninstanzen (erweiterter Support) müssen Systemupdates installiert sein | Schützen Sie Ihre Cloud Services-Rolleninstanzen (erweiterter Support), indem Sie sicherstellen, dass die neuesten Sicherheitsupdates und alle kritischen Updates installiert wurden. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Configure Erweiterter Schutz vor Bedrohungen auf Azure Datenbank für flexible MySQL-Server aktiviert werden | Aktivieren Sie Erweiterter Schutz vor Bedrohungen auf Ihrer Azure-Datenbank für flexible MySQL-Server, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder sie auszunutzen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Erweiterter Schutz vor Bedrohungen auf Azure Datenbank für flexible PostgreSQL-Server aktiviert werden | Aktivieren Sie Erweiterter Schutz vor Bedrohungen auf Ihrer Azure-Datenbank für flexible Server von PostgreSQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Arc-fähige SQL-Server, um Azure Monitor Agent automatisch zu installieren | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung auf Ihren Windows Arc-fähigen SQL-Servern. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.3.0 |
| Configure Arc-fähige SQL-Server, um Microsoft Defender für SQL automatisch zu installieren | Konfigurieren Sie Windows Arc-fähigen SQL-Server so, dass die Microsoft Defender für den SQL-Agent automatisch installiert werden. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, deaktiviert | 1.2.0 |
| Configure Arc-fähige SQL-Server, um Microsoft Defender für SQL und DCR automatisch mit einem Log Analytics Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. | DeployIfNotExists, deaktiviert | 1.6.0 |
| Configure Arc-fähige SQL-Server, um Microsoft Defender für SQL und DCR automatisch mit einem benutzerdefinierten LA-Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. | DeployIfNotExists, deaktiviert | 1.8.0 |
| Configure Arc-fähige SQL Server mit Data Collection Rule Association zum Microsoft Defender für SQL DCR | Konfigurieren Sie die Zuordnung zwischen arcfähigen SQL-Servern und dem Microsoft Defender für SQL DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Arc-fähige SQL-Server mit Data Collection Rule Association zum Microsoft Defender für SQL benutzerdefinierter DCR | Konfigurieren Sie die Zuordnung zwischen arcfähigen SQL-Servern und dem Microsoft Defender für benutzerdefinierte SQL-DCR. Durch das Löschen dieser Zuordnung wird die Erkennung von Sicherheitsrisiken für diese Arc-fähigen SQL-Server unterbrochen. | DeployIfNotExists, deaktiviert | 1.3.0 |
| Configure Azure Defender für den App-Dienst aktiviert werden | Azure Defender für App Service nutzt den Umfang der Cloud und die Sichtbarkeit, die Azure als Cloudanbieter hat, um allgemeine Web-App-Angriffe zu überwachen. | DeployIfNotExists, deaktiviert | 1.0.1 |
| Configure Azure Defender, damit Azure SQL Datenbank aktiviert werden kann | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | DeployIfNotExists, deaktiviert | 1.0.1 |
| Configure Azure Defender, damit relationale Open-Source-Datenbanken aktiviert werden | Azure Defender für relationale Open-Source-Datenbanken erkennt anomale Aktivitäten, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. Erfahren Sie mehr über die Funktionen von Azure Defender für relationale Open-Source-Datenbanken unter https://aka.ms/AzDforOpenSourceDBsDocu. Wichtig: Wenn Sie diesen Plan aktivieren, entstehen Gebühren für den Schutz Ihrer relationalen Open-Source-Datenbanken. Weitere Informationen zu den Preisen finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Azure Defender, damit Resource Manager aktiviert werden kann | Azure Defender für Resource Manager überwacht automatisch die Ressourcenverwaltungsvorgänge in Ihrer Organisation. Azure Defender erkennt Bedrohungen und warnt Sie über verdächtige Aktivitäten. Erfahren Sie mehr über die Funktionen von Azure Defender für Resource Manager unter https://aka.ms/defender-for-resource-manager . Das Aktivieren dieses Azure Defender Plans führt zu Gebühren. Weitere Informationen zu den Preisen pro Region finden Sie in der Security Center-Preisübersicht unter https://aka.ms/pricing-security-center. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Azure Defender für Server aktiviert werden | Azure Defender für Server bietet Echtzeit-Bedrohungsschutz für Serverworkloads und generiert Härtungsempfehlungen sowie Warnungen zu verdächtigen Aktivitäten. | DeployIfNotExists, deaktiviert | 1.0.1 |
| Configure-Azure Defender für SQL-Server auf Computern, die aktiviert werden sollen | Azure Defender für SQL bietet Funktionen zum Auf- und Abmildern potenzieller Datenbankrisiken, erkennen anomale Aktivitäten, die bedrohungen für SQL-Datenbanken angeben können, sowie das Ermitteln und Klassifizieren vertraulicher Daten. | DeployIfNotExists, deaktiviert | 1.0.1 |
| Configure basic Microsoft Defender for Storage to be enabled (Activity Monitoring only) | Microsoft Defender für den Speicher bietet Azure systemeigene Bedrohungserkennung für Speicherkonten. Diese Richtlinie ermöglicht grundlegende Features (Aktivitätsüberwachung). Verwenden Sie aka.ms/DFStoragePolicy, um vollständigen Schutz zu gewährleisten, einschließlich Schadsoftwareüberprüfung und vertraulicher Datenermittlung. Aktualisierung der Hauptversion: PerTransaction wird nach dem 5. Februar 2025 nicht mehr für neue Aktivierungen unterstützt. Vorhandene Konten, die sie verwenden, werden weiterhin unterstützt. Weitere Informationen: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, deaktiviert | 2.0.0 |
| Konfigurieren der ChangeTracking-Erweiterung für Linux Arc-Computer | Konfigurieren Sie Linux Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Konfigurieren der ChangeTracking-Erweiterung für Linux-VM-Skalierungssätze | Konfigurieren Sie skalierungssätze für virtuelle Linux-Computer, um die ChangeTracking-Erweiterung automatisch zu installieren, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Konfigurieren der ChangeTracking-Erweiterung für virtuelle Linux-Computer | Konfigurieren Sie virtuelle Linux-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.2.0 |
| Configure ChangeTracking Extension für Windows Arc-Computer | Konfigurieren Sie Windows Arc-Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Configure ChangeTracking Extension für Windows vm scale sets | Konfigurieren Sie Windows Skalierungsgruppen für virtuelle Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.1.0 |
| Configure ChangeTracking Extension für Windows virtuelle Computer | Konfigurieren Sie Windows virtuellen Computer so, dass die ChangeTracking-Erweiterung automatisch installiert wird, um die Dateiintegritätsüberwachung (File Integrity Monitoring, FIM) in Azure Security Center zu aktivieren. FIM untersucht Betriebssystemdateien, Windows Registrierungen, Anwendungssoftware, Linux-Systemdateien und vieles mehr auf Änderungen, die auf einen Angriff hindeuten könnten. Die Erweiterung kann auf virtuellen Computern und Speicherorten installiert werden, die von Azure Monitor Agent unterstützt werden. | DeployIfNotExists, deaktiviert | 2.2.0 |
| Konfigurieren von Computern für den Empfang eines Anbieters für Sicherheitsrisikobewertung | Azure Defender enthält Sicherheitsrisikoüberprüfungen für Ihre Computer ohne zusätzliche Kosten. Sie benötigen keine Qualys-Lizenz und auch kein Qualys-Konto – alles erfolgt nahtlos innerhalb von Security Center. Wenn Sie diese Richtlinie aktivieren, stellt Azure Defender automatisch den Qualys-Sicherheitsrisikobewertungsanbieter auf allen unterstützten Computern bereit, auf denen sie noch nicht installiert ist. | DeployIfNotExists, deaktiviert | 4.0.0 |
| Configure Microsoft Defender CSPM Plan | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender CSPM aktiviert werden soll | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. | DeployIfNotExists, deaktiviert | 1.0.2 |
| Configure Microsoft Defender, damit Azure Cosmos DB aktiviert werden können | Microsoft Defender für Azure Cosmos DB ist eine Azure-systemeigene Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle SQL-Einfügungen, bekannte schlechte Akteure basierend auf Microsoft Threat Intelligence, verdächtigen Zugriffsmustern und potenziellen Ausbeutung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender für Containerplan | Neue Funktionen werden kontinuierlich zu Defender für container-Plan hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, deaktiviert | 1.5.0 |
| Configure Microsoft Defender für Container aktiviert werden | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. | DeployIfNotExists, deaktiviert | 1.0.1 |
| Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen innerhalb Microsoft Defender for Cloud (auch bekannt als WDATP_EXCLUDE_LINUX_...), um die automatische Bereitstellung von MDE für Linux-Server zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen innerhalb Microsoft Defender for Cloud (auch als WDATP_UNIFIED_SOLUTION bezeichnet), um die automatische Bereitstellung von MDE Unified Agent für Windows Server 2012R2 und 2016 zu aktivieren. Die WDATP-Einstellung muss aktiviert sein, damit diese Einstellung angewendet werden kann. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender for Endpoint Integrationseinstellungen mit Microsoft Defender for Cloud (WDATP) | Konfiguriert die Microsoft Defender for Endpoint Integrationseinstellungen in Microsoft Defender for Cloud (auch als WDATP bezeichnet), für Windows Downlevel-Computer, die über MMA in MDE integriert sind, und die automatische Bereitstellung von MDE auf Windows Server 2019 , Windows Virtual Desktop und höher. Muss aktiviert sein, damit die anderen Einstellungen (wie WDATP_UNIFIED) funktionieren. Weitere Informationen finden Sie unter https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender für Key Vault Plan | Microsoft Defender für Key Vault bietet eine zusätzliche Schutz- und Sicherheitsintelligenzebene, indem ungewöhnliche und potenziell schädliche Versuche erkannt werden, auf key vault Konten zuzugreifen oder diese auszunutzen. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure Microsoft Defender für Serverplan | Neue Funktionen werden kontinuierlich zu Defender für Server hinzugefügt, die möglicherweise die explizite Aktivierung des Benutzers erfordern. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender für Serverplan (P1 ODER P2) | Stellt sicher, dass die ausgewählte Microsoft Defender für den Server-Unterplan (P1 oder P2) auf Abonnementebene aktiviert ist. Diese Richtlinie unterstützt die dynamische Auswahl über Parameter und erzwingt die Bereitstellung, wenn sie noch nicht konfiguriert ist. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure-Microsoft Defender für SQL für Synapse-Arbeitsbereiche aktiviert werden | Aktivieren Sie Microsoft Defender für SQL in Ihren Azure Synapse Arbeitsbereichen, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf SQL-Datenbanken zuzugreifen oder diese auszunutzen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure Microsoft Defender für die Aktivierung des Speichers | Microsoft Defender für den Speicher ist eine Azure native Ebene von Sicherheitsintelligenz, die potenzielle Bedrohungen für Ihre Speicherkonten erkennt. Diese Richtlinie aktiviert alle Defender für Speicherfunktionen; Aktivitätsüberwachung, Schadsoftwareüberprüfung und Erkennung vertraulicher Daten. Weitere Informationen zu Defender für Speicherfunktionen und -vorteile finden Sie unter aka.ms/DefenderForStorage. | DeployIfNotExists, deaktiviert | 1.5.0 |
| Configure Microsoft Defender Bedrohungsschutz für AI Services | Neue Funktionen werden kontinuierlich zum Bedrohungsschutz für KI-Dienste hinzugefügt, was die explizite Aktivierung des Benutzers erfordern kann. Verwenden Sie diese Richtlinie, um sicherzustellen, dass alle neuen Funktionen aktiviert werden. | DeployIfNotExists, deaktiviert | 1.1.0 |
| Configure SQL Virtual Machines, um Azure Monitor Agent automatisch zu installieren | Automatisieren Sie die Bereitstellung der Azure Monitor Agent-Erweiterung in Ihrem Windows SQL-Virtual Machines. Weitere Informationen finden Sie hier: https://aka.ms/AMAOverview. | DeployIfNotExists, deaktiviert | 1.6.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL automatisch zu installieren | Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, deaktiviert | 1.6.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL und DCR automatisch mit einem Log Analytics Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe, eine Datensammlungsregel und Log Analytics Arbeitsbereich in derselben Region wie der Computer. | DeployIfNotExists, deaktiviert | 1.9.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für SQL und DCR automatisch mit einem benutzerdefinierten LA-Arbeitsbereich zu installieren | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und eine Datensammlungsregel in derselben Region wie der benutzerdefinierte Log Analytics Arbeitsbereich. | DeployIfNotExists, deaktiviert | 1.10.0 |
| Configure SQL Virtual Machines, um Microsoft Defender für DIE SQL-Erweiterung automatisch zu installieren | Konfigurieren Sie Windows SQL-Virtual Machines so, dass die Microsoft Defender für die SQL-Erweiterung automatisch installiert wird. Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Configure the Microsoft Defender for SQL Log Analytics workspace | Microsoft Defender für SQL sammelt Ereignisse vom Agent und verwendet diese, um Sicherheitswarnungen und maßgeschneiderte Härtungsaufgaben (Empfehlungen) bereitzustellen. Erstellen Sie eine Ressourcengruppe und Log Analytics Arbeitsbereich in derselben Region wie der Computer. | DeployIfNotExists, deaktiviert | 1.5.0 |
| Erstellen und Zuweisen einer integrierten benutzerzugewiesenen verwalteten Identität | Weisen Sie eine integrierte benutzerseitig zugewiesene verwaltete Identität im großen Stil zu SQL-VMs zu. | AuditIfNotExists, DeployIfNotExists, Deaktiviert | 1.8.0 |
| Deploy – Konfigurieren von Unterdrückungsregeln für Azure Security Center Warnungen | Unterdrücken Sie Azure Security Center Warnungen, um die Ermüdung von Warnungen zu verringern, indem Sie Unterdrückungsregeln für Ihre Verwaltungsgruppe oder Ihr Abonnement bereitstellen. | deployIfNotExists | 1.0.0 |
| Deploy export to Event Hub as a trusted service for Microsoft Defender for Cloud data | Aktivieren Sie den Export nach Event Hub als vertrauenswürdiger Dienst von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in Event Hub als Konfiguration eines vertrauenswürdigen Dienstes mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Deploy export to Event Hub for Microsoft Defender for Cloud data | Aktivieren sie den Export in den Event Hub von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in die Event Hub-Konfiguration mit Ihren Bedingungen und der Event Hub-Zielinstanz für den zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.2.0 |
| Deploy export to Log Analytics workspace for Microsoft Defender for Cloud data | Aktivieren Sie den Export in Log Analytics Arbeitsbereich von Microsoft Defender for Cloud Daten. Diese Richtlinie stellt einen Export in Log Analytics Arbeitsbereichskonfiguration mit Ihren Bedingungen und dem Zielarbeitsbereich im zugewiesenen Bereich bereit. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender for Cloud alerts | Aktivieren Sie die Automatisierung von Microsoft Defender for Cloud Warnungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender for Cloud recommendations | Aktivieren Sie die Automatisierung von Microsoft Defender for Cloud Empfehlungen. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender for Cloud regulatory compliance | Aktivieren Sie die Automatisierung Microsoft Defender for Cloud einhaltung gesetzlicher Vorschriften. Diese Richtlinie stellt die Workflowautomatisierung mit Ihren Bedingungen bereit und wird für den zugewiesenen Bereich ausgelöst. Um diese Richtlinie für neu erstellte Abonnements bereitzustellen, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen eine Wartungsaufgabe. | deployIfNotExists | 5.0.1 |
| E-Mail-Benachrichtigung zu Warnungen mit hohem Schweregrad muss aktiviert sein | Aktivieren Sie E-Mail-Benachrichtigungen für Warnungen mit hohem Schweregrad in Security Center, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 1.2.0 |
| E-Mail-Benachrichtigung des Abonnementbesitzers bei Warnungen mit hohem Schweregrad muss aktiviert sein | Legen Sie E-Mail-Benachrichtigungen für Abonnementbesitzer für Warnungen mit hohem Schweregrad in Security Center fest, um sicherzustellen, dass Ihre Abonnementbesitzer benachrichtigt werden, wenn es für ihr Abonnement zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 2.1.0 |
| Enable Microsoft Defender for Cloud in Ihrem Abonnement | Identifiziert vorhandene Abonnements, die nicht von Microsoft Defender for Cloud überwacht werden, und schützt sie mit den kostenlosen Features Defender for Cloud. Abonnements, die bereits überwacht werden, werden als konform betrachtet. Um neu erstellte Abonnements zu registrieren, öffnen Sie die Registerkarte „Konformität“, wählen die entsprechende nicht konforme Zuweisung aus und erstellen einen Wartungstask. | deployIfNotExists | 1.0.1 |
| Enable Security Center die automatische Bereitstellung des Log Analytics Agents für Ihre Abonnements mit benutzerdefiniertem workspace. | Erlauben Sie Security Center, den Log Analytics Agent in Ihren Abonnements automatisch bereitzustellen, um Sicherheitsdaten mithilfe eines benutzerdefinierten Arbeitsbereichs zu überwachen und zu sammeln. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Enable Security Center die automatische Bereitstellung des Log Analytics Agents für Ihre Abonnements mit Standardarbeitsbereich. | Erlauben Sie Security Center, den Log Analytics Agent in Ihren Abonnements automatisch bereitzustellen, um Sicherheitsdaten mithilfe des ASC-Standardarbeitsbereichs zu überwachen und zu sammeln. | DeployIfNotExists, deaktiviert | 1.0.0 |
| Aktivieren des Bedrohungsschutzes für KI-Workloads | Microsoft Bedrohungsschutz für KI-Workloads bietet kontextbezogene, nachweisbasierte Sicherheitswarnungen zum Schutz von von zu Hause gewachsenen, generierten KI-basierten Anwendungen | DeployIfNotExists, deaktiviert | 1.0.0 |
| Guest-Konten mit Besitzerberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Besitzerberechtigungen müssen aus Ihrem Abonnement entfernt werden, um einen nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Guest-Konten mit Leseberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Leserechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Guest-Konten mit Schreibberechtigungen für Azure Ressourcen sollten entfernt werden | Externe Konten mit Schreibrechten müssen aus Ihrem Abonnement entfernt werden, um nicht überwachten Zugriff zu verhindern. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Die Erweiterung „Gastkonfiguration“ muss auf Ihren Computern installiert sein. | Installieren Sie die Erweiterung „Gastkonfiguration“, um eine sichere Konfiguration gastsysteminterner Einstellungen Ihres Computers zu gewährleisten. Von der Erweiterung werden unter anderem gastsysteminterne Einstellungen wie die Konfiguration des Betriebssystems, die Konfiguration oder das Vorhandensein einer Anwendung sowie Umgebungseinstellungen überwacht. Nach der Installation stehen Gastrichtlinien zur Verfügung, z. B. "Windows Exploit Guard sollte aktiviert werden". Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Virtuelle Computer mit Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden | Schützen Sie Ihre virtuellen Computer vor potenziellen Bedrohungen, indem Sie den Zugriff darauf mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Die IP-Weiterleitung muss auf Ihrem virtuellen Computer deaktiviert sein. | Durch die Aktivierung der IP-Weiterleitung für die Netzwerkschnittstelle einer VM kann die VM Datenverkehr empfangen, der an andere Ziele adressiert ist. Da die IP-Weiterleitung nur selten benötigt wird (z. B. bei Verwendung der VM als virtuelles Netzwerkgerät), sollte dieser Vorgang vom Netzwerksicherheitsteam geprüft werden. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Für Kubernetes Service muss ein Upgrade auf eine Kubernetes-Version ohne Sicherheitsrisiko durchgeführt werden. | Führen Sie ein Upgrade Ihres Kubernetes Service-Clusters auf eine höhere Kubernetes-Version durch, um es vor bekannten Sicherheitsrisiken in Ihrer aktuellen Kubernetes-Version zu schützen. Das Sicherheitsrisiko „CVE-2019-9946“ wurde in den Kubernetes-Versionen 1.11.9+, 1.12.7+, 1.13.5+ und 1.14.0+ gepatcht. | Audit, deaktiviert | 1.0.2 |
| Log Analytics Agent sollte auf Ihren Cloud Services-Rolleninstanzen (erweiterter Support) installiert werden | Security Center erfasst Daten aus Cloud Services-Rolleninstanzen (erweiterter Support), um eine Überwachung auf Sicherheitsrisiken und Bedrohungen durchzuführen. | AuditIfNotExists, Deaktiviert | 2.0.0 |
| Geheime Ergebnisse auf Computern müssen aufgelöst werden | Überprüft VMs, um festzustellen, ob sie geheime Erkenntnisse aus den geheimen Scan-Lösungen auf Ihren VMs enthalten. | AuditIfNotExists, Deaktiviert | 1.0.2 |
| Verwaltungsports von virtuellen Computern sollten mit Just-In-Time-Netzwerkzugriffssteuerung geschützt werden | Der Mögliche Netzwerkzugriff just In Time (JIT) wird von Azure Security Center als Empfehlungen überwacht. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Verwaltungsports sollten auf Ihren virtuellen Computern geschlossen werden | Offene Remoteverwaltungsports setzen Ihre VM einem hohen Risiko aus, weil sie internetbasierte Brute-Force-Angriffe zur Erlangung von Anmeldeinformationen begünstigen, um Administratorzugriff auf den Computer zu erhalten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Microsoft Defender CSPM sollte aktiviert sein | Defender Cloud Security Posture Management (CSPM) bietet erweiterte Haltungsfunktionen und ein neues intelligentes Cloudsicherheitsdiagramm, um Risiken zu identifizieren, zu priorisieren und zu reduzieren. Defender CSPM ist zusätzlich zu den kostenlosen grundlegenden Sicherheitsstatusfunktionen verfügbar, die standardmäßig in Defender for Cloud aktiviert sind. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender for AI Services sollte aktiviert sein | Überprüfen Sie, ob Microsoft Defender for AI Services für das Abonnement aktiviert ist. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für APIs sollte aktiviert sein | Microsoft Defender für APIs bietet neue Erkennungs-, Schutz-, Erkennungs- und Reaktionsabdeckungen, um auf allgemeine API-basierte Angriffe und Sicherheitsfehler zu überwachen. | AuditIfNotExists, Deaktiviert | 1.0.3 |
| Microsoft Defender für Azure Cosmos DB sollte aktiviert sein | Microsoft Defender für Azure Cosmos DB ist eine Azure-systemeigene Sicherheitsebene, die Versuche erkennt, Datenbanken in Ihren Azure Cosmos DB-Konten auszunutzen. Defender für Azure Cosmos DB erkennt potenzielle SQL-Einfügungen, bekannte schlechte Akteure basierend auf Microsoft Threat Intelligence, verdächtigen Zugriffsmustern und potenziellen Ausbeutung Ihrer Datenbank durch kompromittierte Identitäten oder böswillige Insider. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für Container sollte aktiviert sein | Microsoft Defender für Container bietet Härtung, Sicherheitsrisikobewertung und Laufzeitschutz für Ihre Azure-, Hybrid- und Multi-Cloud Kubernetes-Umgebungen. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für SQL sollte für nicht geschützte Synapse-Arbeitsbereiche aktiviert sein | Aktivieren Sie Defender für SQL, um Ihre Synapse-Arbeitsbereiche zu schützen. Defender für SQL überwacht Ihre Synapse SQL, um anomale Aktivitäten zu erkennen, die ungewöhnliche und potenziell schädliche Versuche zeigen, auf Datenbanken zuzugreifen oder diese auszunutzen. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Microsoft Defender für den Speicher sollte aktiviert sein | Microsoft Defender für Speicher erkennt potenzielle Bedrohungen für Ihre Speicherkonten. Es hilft, die drei wichtigsten Auswirkungen auf Ihre Daten und Ihren Workload zu verhindern: Upload von Schadsoftware, Exfiltration vertraulicher Daten und Datenbeschädigung. Die neue Defender für den Speicherplan umfasst Schadsoftwareüberprüfung und die Erkennung vertraulicher Daten. Diese Plan bietet auch eine vorhersagbare Preisstruktur (pro Speicherkonto), sodass Sie Kosten und Abdeckung immer im Blick haben. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Virtuelle Computer ohne Internetzugang sollten über Netzwerksicherheitsgruppen geschützt werden. | Schützen Sie Ihre virtuellen Computer ohne Internetzugang vor potenziellen Bedrohungen, indem Sie den Zugriff mithilfe von Netzwerksicherheitsgruppen (NSGs) einschränken. Weitere Informationen zum Steuern des Datenverkehrs mit NSGs finden Sie unter https://aka.ms/nsg-doc. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| Role-Based Access Control (RBAC) sollte für Kubernetes Services verwendet werden | Verwenden Sie Role-Based Access Control (RBAC) zum Verwalten von Berechtigungen in Kubernetes-Dienstclustern und zum Konfigurieren relevanter Autorisierungsrichtlinien, um eine präzise Filterung der Aktionen bereitzustellen, die Benutzer ausführen können. | Audit, deaktiviert | 1.1.0 |
| Security Center Standard-Tarif muss ausgewählt sein | Die Standardpreisstufe ermöglicht die Bedrohungserkennung für Netzwerke und virtuelle Computer, bietet Bedrohungserkennung, Anomalieerkennung und Verhaltensanalysen in Azure Security Center | Audit, deaktiviert | 1.1.0 |
| Einrichten von Abonnements für den Übergang zu einer alternativen Lösung zur Sicherheitsrisikobewertung | Microsoft Defender für Cloud bietet Sicherheitsrisikoüberprüfungen für Ihre Computer ohne zusätzliche Kosten. Wenn Sie diese Richtlinie aktivieren, wird Defender for Cloud dazu führen, dass die Ergebnisse automatisch von der integrierten Microsoft Defender Sicherheitsrisikomanagementlösung an alle unterstützten Computer weitergegeben werden. | DeployIfNotExists, deaktiviert | 1.0.0-preview |
| Ermittelte Sicherheitsrisiken für SQL-Datenbanken müssen behoben werden | Hiermit werden Überprüfungsergebnisse der Sicherheitsrisikobewertung und Empfehlungen zum Beheben von Sicherheitsrisiken für Datenbanken überwacht. | AuditIfNotExists, Deaktiviert | 4.1.0 |
| Die automatische Bereitstellung von SQL-Servern sollte für SQL-Server auf dem Computerplan aktiviert sein. | Um sicherzustellen, dass Ihre SQL-VMs und arcfähigen SQL-Server geschützt sind, stellen Sie sicher, dass der SQL-gezielte Azure Monitoring Agent für die automatische Bereitstellung konfiguriert ist. Dies ist auch erforderlich, wenn Sie die automatische Bereitstellung des Microsoft Monitoring Agent zuvor konfiguriert haben, da diese Komponente veraltet ist. Weitere Informationen: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Ermittelte Sicherheitsrisiken für SQL Server-Instanzen auf Computern müssen behoben werden | Die SQL-Sicherheitsrisikobewertung überprüft Ihre Datenbank auf Sicherheitsrisiken und zeigt Abweichungen von Best Practices wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte vertrauliche Daten an. Durch das Beseitigen der Sicherheitsrisiken kann der Sicherheitsstatus Ihrer Datenbank deutlich verbessert werden. | AuditIfNotExists, Deaktiviert | 1.0.0 |
| Subnetze sollten einer Netzwerksicherheitsgruppe zugeordnet werden | Schützen Sie Ihr Subnetz vor potenziellen Bedrohungen, indem Sie den Zugriff auf das Subnetz mit einer Netzwerksicherheitsgruppe (NSG) einschränken. NSGs enthalten eine Liste der Access Control List (ACL)-Regeln, die den Netzwerkdatenverkehr zu Ihrem Subnetz zulassen oder verweigern. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| In Abonnements sollte eine Kontakt-E-Mail-Adresse für Sicherheitsprobleme angegeben sein. | Legen Sie eine für die Sicherheit zuständige Kontaktperson fest, die E-Mail-Benachrichtigungen von Security Center erhalten soll, um sicherzustellen, dass die relevanten Personen in Ihrer Organisation benachrichtigt werden, wenn es für eines Ihrer Abonnements zu einer potenziellen Sicherheitsverletzung gekommen ist. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Systemupdates sollten auf Ihren Computern installiert sein (über Update Center) | Auf Ihren Computern fehlen System-, Sicherheits- und kritische Updates. Softwareupdates enthalten häufig wichtige Patches für Sicherheitslücken. Da diese Lücken bei Angriffen mit Schadsoftware häufig ausgenutzt werden, ist es sehr wichtig, dass Sie Ihre Software immer auf dem aktuellen Stand halten. Führen Sie die Schritte zur Problembehebung aus, um alle ausstehenden Patches zu installieren und Ihre Computer zu schützen. | AuditIfNotExists, Deaktiviert | 1.0.1 |
| Ihrem Abonnement sollte mehr als ein Besitzer zugewiesen sein | Es wird empfohlen, mehrere Abonnementbesitzer festzulegen, um Redundanz beim Administratorzugriff zu gewährleisten. | AuditIfNotExists, Deaktiviert | 3.0.0 |
| VM-Erweiterung „Gastkonfiguration“ muss mit einer systemseitig zugewiesenen verwalteten Identität bereitgestellt werden | Für die Gastkonfigurationserweiterung wird eine systemseitig zugewiesene verwaltete Identität benötigt. Azure virtuellen Computer im Bereich dieser Richtlinie sind nicht kompatibel, wenn die Gastkonfigurationserweiterung installiert ist, aber keine verwaltete Identität des Systems zugewiesen ist. Weitere Informationen finden Sie unter https://aka.ms/gcpol. | AuditIfNotExists, Deaktiviert | 1.0.1 |
Nächste Schritte
In diesem Artikel haben Sie Azure Policy Sicherheitsrichtliniendefinitionen in Defender for Cloud kennengelernt. Weitere Informationen zu Initiativen, Richtlinien und deren Beziehung zu den Empfehlungen von Defender for Cloud finden Sie unter What are security policies, initiatives, and recommendations?.