Partager via


Détails de l’initiative intégrée Conformité réglementaire pour NIST SP 800-53 Rev. 4 (Azure Government)

L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans NIST SP 800-53 Rev. 4 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 4. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.

Les mappages suivants concernent les contrôles NIST SP 800-53 Rév. 4. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire NIST SP 800-53 Rev. 4.

Important

Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.

Contrôle d’accès

Stratégie et procédures du contrôle d’accès

ID : NIST SP 800-53 Rev. 4 AC-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1000 – Exigences de la stratégie et des procédures de contrôle d’accès Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1001 – Exigences de la stratégie et des procédures de contrôle d’accès Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Gestion de compte

ID : NIST SP 800-53 Rev. 4 AC-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Microsoft Managed Control 1002 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1003 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1004 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1005 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1006 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1007 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1008 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1009 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1010 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1011 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1012 - Gestion des comptes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Gestion automatisée des comptes système

ID : NIST SP 800-53 Rev. 4 AC-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Microsoft Managed Control 1013 - Gestion des comptes | Gestion automatisée des comptes du système Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Suppression des comptes temporaires/d’urgence

ID : NIST SP 800-53 Rév. 4 AC-2 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1014 - Gestion des comptes | Suppression des comptes temporaires et d’urgence Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Désactiver les comptes inactifs

ID : NIST SP 800-53 Rev. 4 AC-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1015 - Gestion des comptes | Désactiver les comptes inactifs Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Actions d’audit automatisées

ID : NIST SP 800-53 Rev. 4 AC-2 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1016 - Gestion des comptes | Mesures d’audit automatisées Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Déconnexion pour inactivité

ID : NIST SP 800-53 Rev. 4 AC-2 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1017 - Gestion des comptes | Déconnexion pour inactivité Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Schémas basés sur les rôles

ID : NIST SP 800-53 Rev. 4 AC-2 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Microsoft Managed Control 1018 - Gestion des comptes | Schémas basés sur des rôles Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1019 - Gestion des comptes | Schémas basés sur des rôles Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1020 - Gestion des comptes | Schémas basés sur des rôles Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Restrictions sur l’utilisation des comptes/groupes partagés

ID : NIST SP 800-53 Rev. 4 AC-2 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1021 - Gestion des comptes | Restrictions sur l’utilisation des comptes partagés/de groupe Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Résiliation des informations d’identification de compte partagé/de groupe

ID : NIST SP 800-53 Rev. 4 AC-2 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1022 - Gestion des comptes | Résiliation des informations d’identification de compte partagé/de groupe Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Conditions d’utilisation

ID : NIST SP 800-53 Rev. 4 AC-2 (11) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1023 - Gestion des comptes | Conditions d’utilisation Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Surveillance de compte pour toute utilisation atypique

ID : NIST SP 800-53 Rev. 4 AC-2 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1024 - Gestion des comptes | Monitoring des comptes/Utilisation atypique Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1025 - Gestion des comptes | Monitoring des comptes/Utilisation atypique Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Désactiver les comptes des personnes à risque élevé

ID : NIST SP 800-53 Rev. 4 AC-2 (13) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1026 - Gestion des comptes | Désactiver les comptes des personnes à risque élevé Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Application de l’accès

ID : NIST SP 800-53 Rev. 4 AC-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Linux qui ont des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe AuditIfNotExists, Désactivé 1.4.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.4.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1027 - Application de l’accès Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

Contrôle d’accès en fonction du rôle

ID : NIST SP 800-53 Rev. 4 AC-3 (7) Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.4

Application du flux d’informations

ID : NIST SP 800-53 Rev. 4 AC-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.1-deprecated
[Déconseillé] : Cognitive Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.1-deprecated
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.1.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 1.4.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1028 - Application du flux d’informations Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0

Contrôle de flux d’informations dynamiques

ID : NIST SP 800-53 Rev. 4 AC-4 (3) Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0

Filtres des stratégies de sécurité

ID : NIST SP 800-53 Rev. 4 AC-4 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1029 - Application du flux d’informations | Filtres de stratégie de sécurité Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Séparation physique/logique des flux d’informations

ID : NIST SP 800-53 Rev. 4 AC-4 (21) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1030 - Application du flux d’informations | Séparation physique/logique des flux d’informations Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Séparation des tâches

ID : NIST SP 800-53 Rev. 4 AC-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1031 - Séparation des tâches Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1032 - Séparation des tâches Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1033 - Séparation des tâches Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0

Privilège minimum

ID : NIST SP 800-53 Rev. 4 AC-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Microsoft Managed Control 1034 - Privilège minimum Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Autoriser l’accès aux fonctions de sécurité

ID : NIST SP 800-53 Rev. 4 AC-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1035 - Privilège minimum | Autoriser l’accès aux fonctions de sécurité Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Accès non privilégié aux fonctions non sécuritaires

ID : NIST SP 800-53 Rév. 4 AC-6 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1036 - Privilège minimum | Accès non privilégié aux fonctions non sécuritaires Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Accès réseau aux commandes privilégiées

ID : NIST SP 800-53 Rév. 4 AC-6 (3) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1037 - Privilège minimum | Accès réseau aux commandes privilégiées Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Comptes privilégiés

ID : NIST SP 800-53 Rev. 4 AC-6 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1038 - Privilège minimum | Comptes privilégiés Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Révision des privilèges utilisateur

ID : NIST SP 800-53 Rev. 4 AC-6 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Auditer l’utilisation des rôles RBAC personnalisés Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.1
Microsoft Managed Control 1039 - Privilège minimum | Révision des privilèges utilisateur Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1040 - Privilège minimum | Révision des privilèges utilisateur Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Niveaux de privilège pour l’exécution du code

ID : NIST SP 800-53 Rev. 4 AC-6 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1041 - Privilège minimum | Niveaux de privilège pour l’exécution du code Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Audit de l’utilisation des fonctions privilégiées

ID : NIST SP 800-53 Rev. 4 AC-6 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1042 - Privilège minimum | Audit de l’utilisation des fonctions privilégiées Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Interdire aux utilisateurs non privilégiés d’exécuter des fonctions privilégiées

ID : NIST SP 800-53 Rév. 4 AC-6 (10) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1043 - Privilège minimum | Interdire aux utilisateurs non privilégiés d’exécuter des fonctions privilégiées Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Essais de connexion infructueux

ID : NIST SP 800-53 Rev. 4 AC-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1044 - Essais de connexion infructueux Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1045 - Essais de connexion infructueux Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Vider/Réinitialiser les périphériques mobiles

ID : NIST SP 800-53 Rév. 4 AC-7 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1046 – Tentatives d’ouverture de session infructueuses | Vidage et réinitialisation de l’appareil mobile Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Notification d’utilisation du système

ID : NIST SP 800-53 Rév. 4 AC-8 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1047 - Notification d’utilisation du système Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1048 - Notification d’utilisation du système Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1049 - Notification d’utilisation du système Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Contrôle des sessions simultanées

ID : NIST SP 800-53 Rev. 4 AC-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1050 - Contrôle des sessions simultanées Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Verrouillage de session

ID : NIST SP 800-53 Rév. 4 AC-11 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1051 - Verrouillage de session Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1052 - Verrouillage de session Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Affichages masquant les modèles

ID : NIST SP 800-53 Rév. 4 AC-11 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1053 - Verrouillage de session | Masquage des informations à l’aide d’une image Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Arrêt de session

ID : NIST SP 800-53 Rev. 4 AC-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1054 - Arrêt de session Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Déconnexions/affichages de messages initié(e)s par l’utilisateur

ID : NIST SP 800-53 Rev. 4 AC-12 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1055 - Arrêt de session | Déconnexions lancées par l’utilisateur/Affichages de messages Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1056 - Arrêt de session | Déconnexions lancées par l’utilisateur/Affichages de messages Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Actions autorisées sans identification ou authentification

ID : NIST SP 800-53 Rev. 4 AC-14 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1057 - Actions autorisées sans identification ou authentification Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1058 - Actions autorisées sans identification ou authentification Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Attributs de sécurité

ID : NIST SP 800-53 Rev. 4 AC-16 Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2

Accès à distance

ID : NIST SP 800-53 Rev. 4 AC-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.1-deprecated
[Déconseillé] : Cognitive Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.1-deprecated
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 1.4.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.4.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Microsoft Managed Control 1059 - Accès à distance Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1060 - Accès à distance Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0

Contrôle/surveillance automatique

ID : NIST SP 800-53 Rev. 4 AC-17 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.1-deprecated
[Déconseillé] : Cognitive Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.1-deprecated
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 1.4.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.4.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Microsoft Managed Control 1061 - Accès à distance | Monitoring/Contrôle automatique Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0

Protection de la confidentialité/de l’intégrité à l’aide du chiffrement

ID : NIST SP 800-53 Rev. 4 AC-17 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1062 - Accès à distance | Protection de la confidentialité et de l’intégrité à l’aide du chiffrement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Points de contrôle d’accès gérés

ID : NIST SP 800-53 Rev. 4 AC-17 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1063 - Accès à distance | Point de contrôle d’accès géré Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Commandes/accès privilégié(e)s

ID : NIST SP 800-53 Rev. 4 AC-17 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1064 - Accès à distance | Commandes/Accès privilégiés Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1065 - Accès à distance | Commandes/Accès privilégiés Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Déconnexion/désactivation de l’accès

ID : NIST SP 800-53 Rev. 4 AC-17 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1066 - Accès à distance | Déconnexion/Désactivation de l’accès Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Accès sans fil

ID : NIST SP 800-53 Rev. 4 AC-18 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1067 – Restrictions de l’accès sans fil Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1068 – Restrictions de l’accès sans fil Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Authentification et chiffrement

ID : NIST SP 800-53 Rev. 4 AC-18 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1069 – Restrictions de l’accès sans fil | Authentification et chiffrement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Désactiver la mise en réseau sans fil

ID : NIST SP 800-53 Rév. 4 AC-18 (3) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1070 – Restrictions de l’accès sans fil | Désactivation de la mise en réseau sans fil Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Restriction des configurations par les utilisateurs

ID : NIST SP 800-53 Rév. 4 AC-18 (4) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1071 – Restrictions de l’accès sans fil | Restriction des configurations par les utilisateurs Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Antennes/Niveaux de puissance de transmission

ID : NIST SP 800-53 Rév. 4 AC-18 (5) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1072 – Restrictions de l’accès sans fil | Antennes et niveaux de puissance de transmission Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Contrôle d’accès pour les appareils mobiles

ID : NIST SP 800-53 Rev. 4 AC-19 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1073 – Access Control pour les systèmes portables et mobiles Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1074 – Contrôle d’accès pour les systèmes portables et mobiles Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Chiffrement complet de l’appareil/du conteneur

ID : NIST SP 800-53 Rev. 4 AC-19 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1075 – Contrôle d’accès pour les systèmes portables et mobiles | Chiffrement complet de l’appareil ou du conteneur Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Utilisation de systèmes d’information externes

ID : NIST SP 800-53 Rev. 4 AC-20 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1076 - Utilisation de systèmes d’information externes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1077 - Utilisation de systèmes d’information externes Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Limites d’utilisation autorisée

ID : NIST SP 800-53 Rev. 4 AC-20 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1078 - Utilisation de systèmes d’information externes | Limites d’utilisation autorisée Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1079 - Utilisation de systèmes d’information externes | Limites d’utilisation autorisée Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Appareils de stockage portable

ID : NIST SP 800-53 Rev. 4 AC-20 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1080 - Utilisation de systèmes d’informations externes | Appareils de stockage portables Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Partage d’informations

ID : NIST SP 800-53 Rev. 4 AC-21 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1081 - Partage d’informations Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1082 - Partage d’informations Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Contenu accessible publiquement

ID : NIST SP 800-53 Rev. 4 AC-22 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1083 - Contenu accessible publiquement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1084 - Contenu accessible publiquement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1085 - Contenu accessible publiquement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0
Microsoft Managed Control 1086 - Contenu accessible publiquement Microsoft met en œuvre ce contrôle Access Control audit 1.0.0

Reconnaissance et formation

Stratégie et procédures de formation et de sensibilisation à la sécurité

ID : NIST SP 800-53 Rev. 4 AT-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1087 - Politique et procédures de sensibilisation et de formation à la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1088 - Politique et procédures de formation et de sensibilisation à la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Formation sur la sécurité

ID : NIST SP 800-53 Rev. 4 AT-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1089 – Sensibilisation à la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1090 – Sensibilisation à la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1091 – Sensibilisation à la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Menace interne

ID : NIST SP 800-53 Rev. 4 AT-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1092 – Sensibilisation à la sécurité | Menace interne Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Formation sur la sécurité en fonction du rôle

ID : NIST SP 800-53 Rev. 4 AT-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1093 - Formation sur la sécurité en fonction du rôle Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1094 - Formation sur la sécurité en fonction du rôle Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1095 - Formation sur la sécurité en fonction du rôle Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Exercices pratiques

ID : NIST SP 800-53 Rev. 4 AT-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1096 - Formation sur la sécurité en fonction du rôle | Exercices pratiques Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Communications suspectes et comportement anormal du système

ID : NIST SP 800-53 Rev. 4 AT-3 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1097 - Formation à la sécurité basée sur les rôles | Communications suspectes et comportement anormal du système Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Enregistrements de la formation sur la sécurité

ID : NIST SP 800-53 Rev. 4 AT-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1098 - Enregistrements de formation sur la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0
Microsoft Managed Control 1099 - Enregistrements de formation sur la sécurité Microsoft met en œuvre ce contrôle de sensibilisation et de formation audit 1.0.0

Audit et responsabilité

Stratégie et procédures d’audit et de responsabilité

ID : NIST SP 800-53 Rev. 4 AU-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1100 - Stratégie et procédures d’audit et de responsabilité Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1101 - Stratégie et procédures d’audit et de responsabilité Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Événements d’audit

ID : NIST SP 800-53 Rev. 4 AU-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1102 - Événements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1103 - Événements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1104 - Événements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1105 - Événements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Revues et mises à jour

ID : NIST SP 800-53 Rév. 4 AU-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1106 - Audit Events | Revues et mises à jour Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Contenu des enregistrements d’audit

ID : NIST SP 800-53 Rev. 4 AU-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1107 - Contenu des enregistrements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Informations d'audit supplémentaires

ID : NIST SP 800-53 Rev. 4 AU-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1108 - Contenu des enregistrements d’audit | Informations d’audit supplémentaires Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Gestion centralisée du contenu planifié des enregistrements d’audit

ID : NIST SP 800-53 Rév. 4 AU-3 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1109 - Contenu des enregistrements d’audit | Gestion centralisée du contenu planifié des enregistrements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Capacité de stockage de l’audit

ID : NIST SP 800-53 Rev. 4 AU-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1110 - Capacité de stockage de l’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Réponse aux échecs du processus d’audit

ID : NIST SP 800-53 Rev. 4 AU-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1111 - Réponse aux échecs du processus d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1112 - Réponse aux échecs du processus d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Capacité de stockage de l’audit

ID : NIST SP 800-53 Rév. 4 AU-5 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1113 - Réponse aux échecs du processus d’audit | Capacité de stockage de l’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Alertes en temps réel

ID : NIST SP 800-53 Rev. 4 AU-5 (2) Propriété: Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1114 - Réponse aux échecs du processus d’audit | Alertes en temps réel Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Révision, analyse et rapports d’audit

ID : NIST SP 800-53 Rev. 4 AU-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1115 - Révision, analyse et rapports d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1116 - Révision, analyse et rapports d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0

Intégration de processus

ID : NIST SP 800-53 Rev. 4 AU-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1117 - Révision, analyse et rapports d’audit | Intégration de processus Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Mettre en corrélation les dépôts d’audit

ID : NIST SP 800-53 Rev. 4 AU-6 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1118 - Révision, analyse et rapports d’audit | Mettre en corrélation les dépôts d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Évaluation et analyse centralisées

ID : NIST SP 800-53 Rev. 4 AU-6 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1119 - Révision, analyse et rapports d’audit | Révision et analyse centralisées Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Fonctionnalités d’intégration/analyse et supervision

ID : NIST SP 800-53 Rev. 4 AU-6 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1120 - Révision, analyse et rapports d’audit | Intégration/Analyse et fonctionnalités de monitoring Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Corrélation avec la surveillance physique

ID : NIST SP 800-53 Rév. 4 AU-6 (6) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1121 - Révision, analyse et rapports d’audit | Corrélation avec le monitoring physique Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Actions autorisées

ID : NIST SP 800-53 Rev. 4 AU-6 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1122 - Révision, analyse et rapports d’audit | Actions autorisées Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Ajustement du niveau d’audit

ID : NIST SP 800-53 Rev. 4 AU-6 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1123 - Révision, analyse et rapports d’audit | Ajustement du niveau d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Réduction des audits et génération de rapports

ID : NIST SP 800-53 Rev. 4 AU-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1124 - Réduction des audits et génération de rapports Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1125 - Réduction des audits et génération de rapports Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Traitement automatique

ID : NIST SP 800-53 Rev. 4 AU-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1126 - Réduction des audits et génération de rapports | Traitement automatique Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Horodatages

ID : NIST SP 800-53 Rev. 4 AU-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1127 - Horodatages Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1128 - Horodatages Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Synchronisation avec une source de temps faisant autorité

ID : NIST SP 800-53 Rev. 4 AU-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1129 - Horodatages | Synchronisation avec une source de temps faisant autorité Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1130 - Horodatages | Synchronisation avec une source de temps faisant autorité Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Protection des informations d’audit

ID : NIST SP 800-53 Rev. 4 AU-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1131 - Protection des informations d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Sauvegarde de l’audit sur des composants/systèmes physiques distincts

ID : NIST SP 800-53 Rev. 4 AU-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1132 - Protection des informations d’audit | Sauvegarde de l’audit sur des composants/systèmes physiques distincts Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Protection par chiffrement

ID : NIST SP 800-53 Rev. 4 AU-9 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1133 - Protection des informations d’audit | Protection par chiffrement Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Accès par un sous-ensemble d’utilisateurs disposant de privilèges

ID : NIST SP 800-53 Rev. 4 AU-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1134 - Protection des informations d’audit | Accès par un sous-ensemble d’utilisateurs disposant de privilèges Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Non-répudiation

ID : NIST SP 800-53 Rev. 4 AU-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1135 - Non-répudiation Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Rétention des enregistrements d’audit

ID : NIST SP 800-53 Rev. 4 AU-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1136 - Rétention des enregistrements d’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 3.0.0

Génération de l’audit

ID : NIST SP 800-53 Rev. 4 AU-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1137 - Génération de l’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1138 - Génération de l’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Microsoft Managed Control 1139 - Génération de l’audit Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Piste d’audit corrélée au temps/à l’échelle du système

ID : NIST SP 800-53 Rev. 4 AU-12 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1140 - Génération de l’audit | Piste d’audit à l’échelle du système ou liée au temps Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.1.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Modifications apportées par des personnes autorisées

ID : NIST SP 800-53 Rev. 4 AU-12 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1141 - Génération de l’audit | Modifications apportées par des personnes autorisées Microsoft met en œuvre ce contrôle d’audit et de responsabilité audit 1.0.0

Autorisation et évaluation de la sécurité

Stratégie et procédures d’autorisation et d’évaluation de la sécurité

ID : NIST SP 800-53 Rev. 4 CA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1142 – Stratégie et procédures de certification, d’autorisation et d’évaluation de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1143 – Stratégie et procédures de certification, d’autorisation et d’évaluation de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Évaluations de la sécurité

ID : NIST SP 800-53 Rev. 4 CA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1144 - Évaluations de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1145 - Évaluations de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1146 - Évaluations de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1147 - Évaluations de la sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Évaluateurs indépendants

ID : NIST SP 800-53 Rev. 4 CA-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1148 - Évaluations de la sécurité | Évaluateurs indépendants Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Évaluations spécialisées

ID : NIST SP 800-53 Rev. 4 CA-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1149 - Évaluations de la sécurité | Évaluations spécialisées Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Organisations externes

ID : NIST SP 800-53 Rev. 4 CA-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1150 - Évaluations de la sécurité | Organisations externes Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Interconnexions de systèmes

ID : NIST SP 800-53 Rev. 4 CA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1151 - Interconnexions de systèmes Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1152 - Interconnexions de systèmes Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1153 - Interconnexions de systèmes Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Connexions non classifiées du système de sécurité non national

ID : NIST SP 800-53 Rev. 4 CA-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1154 - Interconnexions de systèmes | Connexions non classifiées du système de sécurité non national Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Restrictions sur les connexions de systèmes externes

ID : NIST SP 800-53 Rev. 4 CA-3 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1155 - Interconnexions de systèmes | Restrictions sur les connexions de systèmes externes Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Plan d’action et jalons

ID : NIST SP 800-53 Rev. 4 CA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1156 - Plan d’action et jalons Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle géré Microsoft 1157 - Plan d’action et jalons Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Autorisation de sécurité

ID : NIST SP 800-53 Rev. 4 CA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1158 - Autorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1159 - Autorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Contrôle managé Microsoft 1160 - Autorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Surveillance continue

ID : NIST SP 800-53 Rev. 4 CA-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1161 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1162 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1163 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1164 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1165 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1166 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1167 - Surveillance continue Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Évaluation indépendante

ID : NIST SP 800-53 Rev. 4 CA-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1168 - Monitoring continu | Evaluation indépendante Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Analyses de tendances

ID : NIST SP 800-53 Rev. 4 CA-7 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1169 - Monitoring continu | Analyses de tendances Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Test de pénétration

ID : NIST SP 800-53 Rév. 4 CA-8 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1170 - Test de pénétration Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Agent ou équipe de pénétration indépendant(e)

ID : NIST SP 800-53 Rev. 4 CA-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1171 - Test de pénétration | Agent ou équipe de pénétration indépendant(e) Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Connexions internes du système

ID : NIST SP 800-53 Rev. 4 CA-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1172 - Connexions internes du système Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0
Microsoft Managed Control 1173 - Connexions internes du système Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité audit 1.0.0

Gestion de la configuration

Stratégie et procédures de gestion de la configuration

ID : NIST SP 800-53 Rev. 4 CM-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1174 - Stratégie et procédures de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1175 - Stratégie et procédures de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Configuration de base

ID : NIST SP 800-53 Rev. 4 CM-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1176 - Configuration de base Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Revues et mises à jour

ID : NIST SP 800-53 Rév. 4 CM-2 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1177 - Configuration de base | Révisions et mises à jour Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1178 - Configuration de base | Révisions et mises à jour Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1179 - Configuration de base | Révisions et mises à jour Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Prise en charge de l’automatisation pour la précision/l’actualisation

ID : NIST SP 800-53 Rev. 4 CM-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1180 - Configuration de base | Prise en charge de l’automatisation pour la justesse ou l’actualisation Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Rétention des configurations précédentes

ID : NIST SP 800-53 Rev. 4 CM-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1181 - Configuration de base | Conservation des configurations précédentes Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Configurer des systèmes, composants ou appareils pour les zones à risque élevé

ID : NIST SP 800-53 Rev. 4 CM-2 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1182 - Configuration de base | Configurer des systèmes, composants ou appareils pour les zones à risque élevé Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1183 - Configuration de base | Configurer des systèmes, composants ou appareils pour les zones à risque élevé Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Contrôle de la modification de la configuration

ID : NIST SP 800-53 Rev. 4 CM-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1184 - Contrôle de la modification de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1185 - Contrôle de la modification de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1186 - Contrôle de la modification de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1187 - Contrôle des modifications de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1188 - Contrôle des modifications de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1189 - Contrôle des modifications de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1190 - Contrôle des modifications de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Documentation/notification/interdiction automatique des modifications

ID : NIST SP 800-53 Rev. 4 CM-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1191 - Contrôle des modifications de la configuration | Documentation/Notification/Interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1192 - Contrôle des modifications de la configuration | Documentation/notification/interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1193 - Contrôle des modifications de la configuration | Documentation/Notification/Interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1194 - Contrôle des modifications de la configuration | Documentation/Notification/Interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1195 - Contrôle des modifications de la configuration | Documentation/Notification/Interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1196 - Contrôle des modifications de la configuration | Documentation/Notification/Interdiction automatique des modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Tester/valider/documenter les modifications

ID : NIST SP 800-53 Rev. 4 CM-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1197 - Contrôle des modifications de la configuration | Tester/Valider/Documenter les modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Représentant de la sécurité

ID : NIST SP 800-53 Rev. 4 CM-3 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1198 - Contrôle des modifications de la configuration | Représentant de la sécurité Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Gestion du chiffrement

ID : NIST SP 800-53 Rev. 4 CM-3 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1199 - Contrôle des modifications de la configuration | Gestion du chiffrement Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Analyse de l’impact sur la sécurité

ID : NIST SP 800-53 Rev. 4 CM-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1200 - Analyse de l’impact sur la sécurité Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Environnements de test séparés

ID : NIST SP 800-53 Rev. 4 CM-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1201 - Analyse de l’impact sur la sécurité | Environnements de test séparés Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Restrictions d’accès pour les modifications

ID : NIST SP 800-53 Rev. 4 CM-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1202 - Restrictions d’accès pour les modifications Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Application/audit d’accès automatique

ID : NIST SP 800-53 Rev. 4 CM-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1203 - Restrictions d’accès pour les modifications | Application/Audit d’accès automatique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Révision des modifications du système

ID : NIST SP 800-53 Rev. 4 CM-5 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1204 - Restrictions d’accès pour les modifications | Révision des modifications du système Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Composants signés

ID : NIST SP 800-53 Rev. 4 CM-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1205 - Restrictions d’accès pour les modifications | Composants signés Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Limiter les privilèges de production/opérationnels

ID : NIST SP 800-53 Rev. 4 CM-5 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1206 - Restrictions d’accès pour les modifications | Limiter les privilèges de production/opérationnels Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1207 - Restrictions d’accès pour les modifications | Limiter les privilèges de production/opérationnels Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Paramètres de configuration

ID : NIST SP 800-53 Rev. 4 CM-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. Audit, Désactivé 3.1.0-deprecated
L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. AuditIfNotExists, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 10.2.0
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 10.2.0
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.1.0
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.1.0
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 10.1.0
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 1.5.0
Microsoft Managed Control 1208 - Paramètres de configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1209 - Paramètres de configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1210 - Paramètres de configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1211 - Paramètres de configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 1.0.0

Gestion/application/vérification centrale automatique

ID : NIST SP 800-53 Rev. 4 CM-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1212 - Paramètres de configuration | Gestion/Application/Vérification centrale automatique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Répondre aux modifications non autorisées

ID : NIST SP 800-53 Rév. 4 CM-6 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1213 - Paramètres de configuration | Répondre aux modifications non autorisées Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Fonctionnalités essentielles

ID : NIST SP 800-53 Rev. 4 CM-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Managed Control 1214 - Fonctionnalités essentielles Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1215 - Fonctionnalités essentielles Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Révision périodique

ID : NIST SP 800-53 Rév. 4 CM-7 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1216 - Fonctionnalités essentielles | Révision périodique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1217 - Fonctionnalités essentielles | Révision périodique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Blocage de l’exécution des programmes

ID : NIST SP 800-53 Rev. 4 CM-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1218 - Fonctionnalités essentielles | Empêcher l’exécution d’un programme Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Logiciels autorisés et création de listes autorisées

ID : NIST SP 800-53 Rev. 4 CM-7 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1219 - Fonctionnalités essentielles | Logiciels autorisés/mise sur liste verte Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1220 - Fonctionnalités essentielles | Logiciels autorisés/Mise sur liste approuvée Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1221 - Fonctionnalités essentielles | Logiciels autorisés/Mise sur liste approuvée Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Inventaire des composants du système informatique

ID : NIST SP 800-53 Rev. 4 CM-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1222 - Inventaire des composants du système informatique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1223 - Inventaire des composants du système informatique Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Mises à jour durant les installations/suppressions

ID : NIST SP 800-53 Rev. 4 CM-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1224 - Inventaire des composants du système informatique | Mises à jour durant les installations/suppressions Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Maintenance automatisée

ID : NIST SP 800-53 Rév. 4 CM-8 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1225 - Inventaire des composants du système informatique | Maintenance automatisée Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Détection automatique de composant non autorisé

ID : NIST SP 800-53 Rev. 4 CM-8 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1226 - Inventaire des composants du système informatique | Détection automatique de composant non autorisé Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1227 - Inventaire des composants du système informatique | Détection automatique de composant non autorisé Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Informations de responsabilité

ID : NIST SP 800-53 Rev. 4 CM-8 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1228 - Inventaire des composants du système informatique | Informations de responsabilité Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Aucune comptabilité dupliquée des composants

ID : NIST SP 800-53 Rév. 4 CM-8 (5) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1229 - Inventaire des composants du système informatique | Pas de comptabilité dupliquée des composants Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Plan de gestion de la configuration

ID : NIST SP 800-53 Rev. 4 CM-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1230 - Plan de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1231 - Plan de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1232 - Plan de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1233 - Plan de gestion de la configuration Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Restrictions d’utilisation de logiciels

ID : NIST SP 800-53 Rev. 4 CM-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1234 - Restrictions d’utilisation de logiciels Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1235 - Restrictions d’utilisation de logiciels Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1236 - Restrictions d’utilisation de logiciels Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Logiciel open source

ID : NIST SP 800-53 Rev. 4 CM-10 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1237 - Restrictions d’utilisation de logiciels | Logiciels open source Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Logiciels installés par le client

ID : NIST SP 800-53 Rev. 4 CM-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1238 - Logiciels installés par le client Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1239 - Logiciels installés par le client Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0
Microsoft Managed Control 1240 - Logiciels installés par le client Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Alertes pour les installations non autorisées

ID : NIST SP 800-53 Rév. 4 CM-11 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1241 - Logiciels installés par l’utilisateur | Alertes pour les installations non autorisées Microsoft met en œuvre ce contrôle de gestion de la configuration audit 1.0.0

Planification d’urgence

Stratégie et procédures de planification d’urgence

ID : NIST SP 800-53 Rev. 4 CP-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1242 - Stratégie et procédures de planification d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1243 - Stratégie et procédures de planification d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Plan d’urgence

ID : NIST SP 800-53 Rev. 4 CP-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1244 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1245 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1246 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1247 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1248 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1249 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1250 - Plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

ID : NIST SP 800-53 Rev. 4 CP-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1251 - Plan d’urgence | Coordination avec les plans associés Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Planification de la capacité

ID : NIST SP 800-53 Rev. 4 CP-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1252 - Plan d’urgence | Planification de la capacité Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Reprise des missions/fonctions métier essentielles

ID : NIST SP 800-53 Rev. 4 CP-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1253 - Plan d’urgence | Reprise des missions/fonctions métier essentielles Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Reprise de toutes les missions/fonctions métier

ID : NIST SP 800-53 Rev. 4 CP-2 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1254 - Plan d’urgence | Reprise de toutes les missions/fonctions métier des missions Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Poursuite des missions/fonctions métier essentielles

ID : NIST SP 800-53 Rev. 4 CP-2 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1255 - Plan d’urgence | Poursuite des missions/fonctions métier essentielles Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Identification des ressources critiques

ID : NIST SP 800-53 Rev. 4 CP-2 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1256 - Plan d’urgence | Identification des ressources critiques Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Formation aux urgences

ID : NIST SP 800-53 Rev. 4 CP-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1257 - Formation aux urgences Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1258 - Formation aux urgences Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1259 - Formation aux urgences Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Événements simulés

ID : NIST SP 800-53 Rev. 4 CP-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1260 - Formation aux urgences | Événements simulés Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Test du plan d’urgence

ID : NIST SP 800-53 Rev. 4 CP-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1261 - Test du plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1262 - Test du plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1263 - Test du plan d’urgence Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

ID : NIST SP 800-53 Rev. 4 CP-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1264 - Test du plan d’urgence | Coordination avec les plans associés Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Site de traitement secondaire

ID : NIST SP 800-53 Rev. 4 CP-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1265 - Test du plan d’urgence | Site de traitement secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1266 - Test du plan d’urgence | Site de traitement secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Site de stockage secondaire

ID : NIST SP 800-53 Rev. 4 CP-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Le stockage géoredondant doit être activé pour les comptes de stockage Utiliser la géoredondance pour créer des applications hautement disponibles Audit, Désactivé 1.0.0
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0
Microsoft Managed Control 1267 - Site de stockage secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1268 - Site de stockage secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Séparation avec le site principal

ID : NIST SP 800-53 Rev. 4 CP-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Le stockage géoredondant doit être activé pour les comptes de stockage Utiliser la géoredondance pour créer des applications hautement disponibles Audit, Désactivé 1.0.0
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0
Microsoft Managed Control 1269 - Site de stockage secondaire | Séparation du site principal Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Objectifs de temps/point de récupération

ID : NIST SP 800-53 Rev. 4 CP-6 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1270 - Site de stockage secondaire | Objectifs de temps/point de récupération Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Accessibilité

ID : NIST SP 800-53 Rev. 4 CP-6 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1271 - Site de stockage secondaire | Accessibilité Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Site de traitement secondaire

ID : NIST SP 800-53 Rev. 4 CP-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Microsoft Managed Control 1272 - Site de traitement secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1273 - Site de traitement secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1274 - Site de traitement secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Séparation avec le site principal

ID : NIST SP 800-53 Rev. 4 CP-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1275 - Site de traitement secondaire | Séparation du site principal Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Accessibilité

ID : NIST SP 800-53 Rev. 4 CP-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1276 - Site de traitement secondaire | Accessibilité Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Priorité de service

ID : NIST SP 800-53 Rev. 4 CP-7 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1277 - Site de traitement secondaire | Priorité de service Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Préparation à l’utilisation

ID : NIST SP 800-53 Rév. 4 CP-7 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1278 - Site de traitement secondaire | Préparation à l’utilisation Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Services de télécommunications

ID : NIST SP 800-53 Rév. 4 CP-8 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1279 - Services de télécommunications Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Clauses de priorité de service

ID : NIST SP 800-53 Rev. 4 CP-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1280 - Services de télécommunications | Clauses de priorité de service Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1281 - Services de télécommunications | Clauses de priorité de service Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Points de défaillance uniques

ID : NIST SP 800-53 Rév. 4 CP-8 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1282 - Services de télécommunications | Points de défaillance uniques Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Séparation des fournisseurs principaux/secondaires

ID : NIST SP 800-53 Rév. 4 CP-8 (3) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1283 - Services de télécommunications | Séparation des fournisseurs principaux/secondaires Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Plan d'urgence des fournisseurs

ID : NIST SP 800-53 Rév. 4 CP-8 (4) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1284 - Services de télécommunications | Plan d’urgence des fournisseurs Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1285 - Services de télécommunications | Plan d’urgence des fournisseurs Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1286 - Services de télécommunications | Plan d’urgence des fournisseurs Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Sauvegarde du système d’information

ID : NIST SP 800-53 Rev. 4 CP-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La protection contre la suppression doit être activée pour les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. Audit, Refuser, Désactivé 2.1.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0
Microsoft Managed Control 1287 - Sauvegarde du système d’information Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1288 - Sauvegarde du système d’information Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1289 - Sauvegarde du système d’information Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0
Microsoft Managed Control 1290 - Sauvegarde du système d’information Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Test de la fiabilité/de l’intégrité

ID : NIST SP 800-53 Rév. 4 CP-9 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1291 - Sauvegarde du système d’information | Test de la fiabilité et de l’intégrité Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Test de restauration par l’échantillonnage

ID : NIST SP 800-53 Rév. 4 CP-9 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1292 - Sauvegarde du système d’information | Test de restauration par l’échantillonnage Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Stockage distinct pour les informations critiques

ID : NIST SP 800-53 Rev. 4 CP-9 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1293 - Sauvegarde du système d’information | Stockage distinct pour les informations critiques Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Transfert vers un site de stockage secondaire

ID : NIST SP 800-53 Rev. 4 CP-9 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1294 - Sauvegarde du système d’information | Transfert vers un site de stockage secondaire Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Récupération et la reconstitution du système d’information

ID : NIST SP 800-53 Rev. 4 CP-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1295 - Récupération et la reconstitution du système d’information Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Récupération des transactions

ID : NIST SP 800-53 Rev. 4 CP-10 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1296 - Récupération et reconstitution du système d’information | Récupération des transactions Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Récupération dans les délais

ID : NIST SP 800-53 Rev. 4 CP-10 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1297 - Récupération et reconstitution du système d’information | Récupération dans les délais Microsoft met en œuvre ce contrôle de planification d’urgence audit 1.0.0

Identification et authentification

Stratégie et procédures d’identification et d’authentification

ID : NIST SP 800-53 Rev. 4 IA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1298 - Stratégie et procédures d’identification et d’authentification Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1299 - Stratégie et procédures d’identification et d’authentification Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0

Identification et authentification (Utilisateurs de l’organisation)

ID : NIST SP 800-53 Rev. 4 IA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1300 – Identification et authentification des utilisateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Accès réseau aux comptes privilégiés

ID : NIST SP 800-53 Rev. 4 IA-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Microsoft Managed Control 1301 – Identification et authentification des utilisateurs | Accès réseau aux comptes privilégiés Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès réseau aux comptes non privilégiés

ID : NIST SP 800-53 Rev. 4 IA-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Microsoft Managed Control 1302 – Identification et authentification des utilisateurs | Accès réseau aux comptes non privilégiés Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès local aux comptes privilégiés

ID : NIST SP 800-53 Rev. 4 IA-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1303 – Identification et authentification des utilisateurs | Accès local aux comptes privilégiés Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès local aux comptes non privilégiés

ID : NIST SP 800-53 Rév. 4 IA-2 (4) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1304 – Identification et authentification des utilisateurs | Accès local aux comptes non privilégiés Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Authentification de groupe

ID : NIST SP 800-53 Rev. 4 IA-2 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1305 – Identification et authentification des utilisateurs | Authentification de groupe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès réseau aux comptes privilégiés : relecture

ID : NIST SP 800-53 Rév. 4 IA-2 (8) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1306 – Identification et authentification des utilisateurs | Accès réseau aux comptes privilégiés – Relecture… Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès réseau aux comptes non-privilégiés : relecture

ID : NIST SP 800-53 Rév. 4 IA-2 (9) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1307 – Identification et authentification (utilisateurs de l’organisation) | Accès réseau aux comptes non privilégiés – Relecture… Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Accès à distance - Appareil séparé

ID : NIST SP 800-53 Rev. 4 IA-2 (11) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1308 - Identification et authentification des utilisateurs | Accès à distance - Appareil séparé Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Acceptation d’informations d’identification de la vérification d’identité personnelle

ID : NIST SP 800-53 Rev. 4 IA-2 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1309 – Identification et authentification des utilisateurs | Acceptation des informations d’identification PIV Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Identification et authentification des appareils

ID : NIST SP 800-53 Rév. 4 IA-3 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1310 - Identification et authentification des appareils Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Gestion des identificateurs

ID : NIST SP 800-53 Rev. 4 IA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth Audit, Refuser, Désactivé 1.1.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1311 - Gestion des identificateurs Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1312 - Gestion des identificateurs Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1313 - Gestion des identificateurs Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1314 - Gestion des identificateurs Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1315 - Gestion des identificateurs Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

Identifier l’état utilisateur

ID : NIST SP 800-53 Rev. 4 IA-4 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1316 - Gestion des identificateurs | Identifier l’état utilisateur Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Gestion des authentificateurs

ID : NIST SP 800-53 Rev. 4 IA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 1.4.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.4.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Microsoft Managed Control 1317 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1318 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1319 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1320 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1321 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1322 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1323 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1324 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1325 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1326 - Gestion des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Authentification basée sur un mot de passe

ID : NIST SP 800-53 Rev. 4 IA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 1.3.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 1.4.0
Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 AuditIfNotExists, Désactivé 1.1.0
Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours AuditIfNotExists, Désactivé 1.1.0
Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour AuditIfNotExists, Désactivé 1.1.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé AuditIfNotExists, Désactivé 1.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères AuditIfNotExists, Désactivé 1.1.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 1.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.4.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
Microsoft Managed Control 1327 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1328 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1329 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1330 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1331 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1332 - Gestion des authentificateurs | Authentification basée sur mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Authentification basée sur une infrastructure à clé publique

ID : NIST SP 800-53 Rev. 4 IA-5 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1333 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1334 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1335 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0
Microsoft Managed Control 1336 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Inscription de tiers physiques ou de confiance

ID : NIST SP 800-53 Rev. 4 IA-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1337 - Gestion des authentificateurs | Inscription de tiers physiques ou de confiance Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Prise en charge automatisée du niveau de sécurité du mot de passe

ID : NIST SP 800-53 Rev. 4 IA-5 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1338 - Gestion des authentificateurs | Prise en charge automatisée du niveau de sécurité du mot de passe Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Protection des authentificateurs

ID : NIST SP 800-53 Rev. 4 IA-5 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1339 - Gestion des authentificateurs | Protection des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Aucun authentificateur statique non chiffré incorporé

ID : NIST SP 800-53 Rev. 4 IA-5 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1340 - Gestion des authentificateurs | Aucun authentificateur statique non chiffré incorporé Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Plusieurs comptes de système d’information

ID : NIST SP 800-53 Rév. 4 IA-5 (8) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1341 - Gestion des authentificateurs | Plusieurs comptes de système d’information Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Authentification basée sur les jetons matériels

ID : NIST SP 800-53 Rev. 4 IA-5 (11) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1342 - Gestion des authentificateurs | Authentification basée sur les jetons matériels Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Expiration des authentificateurs mis en cache

ID : NIST SP 800-53 Rev. 4 IA-5 (13) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1343 - Gestion des authentificateurs | Expiration des authentificateurs mis en cache Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Commentaires au sujet des authentificateurs

ID : NIST SP 800-53 Rev. 4 IA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1344 - Commentaires au sujet des authentificateurs Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Authentification du module de chiffrement

ID : NIST SP 800-53 Rev. 4 IA-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1345 - Authentification du module de chiffrement Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Identification et authentification (utilisateurs extérieurs à l’organisation)

ID : NIST SP 800-53 Rev. 4 IA-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1346 - Identification et authentification (utilisateurs extérieurs à l’organisation) Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Acceptation d’informations d’identification de la vérification d’identité personnelle émanant d’autres agences

ID : NIST SP 800-53 Rev. 4 IA-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1347 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Acceptation des informations d’identification PIV… Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Acceptation d’informations d’identification tierces

ID : NIST SP 800-53 Rev. 4 IA-8 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1348 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Acceptation des tiers… Microsoft met en œuvre ce contrôle d’identification et d’authentification audit 1.0.0

Utilisation de produits approuvés par la FICAM

ID : NIST SP 800-53 Rev. 4 IA-8 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1349 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Utilisation des produits approuvés par Ficam Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Utilisation de profils émis par la FICAM

ID : NIST SP 800-53 Rev. 4 IA-8 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1350 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Utilisation des profils émis par FICAM Microsoft met en œuvre c contrôle d’identification et d’authentification audit 1.0.0

Réponse aux incidents

Stratégie et procédures de réponse aux incidents

ID : NIST SP 800-53 Rev. 4 IR-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1351 - Stratégie et procédures de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1352 - Stratégie et procédures de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Formation de réponse aux incidents

ID : NIST SP 800-53 Rev. 4 IR-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1353 - Formation de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1354 - Formation de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1355 - Formation de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Événements simulés

ID : NIST SP 800-53 Rev. 4 IR-2 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1356 - Formation de réponse aux incidents | Événements simulés Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Environnements de formation automatisée

ID : NIST SP 800-53 Rev. 4 IR-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1357 - Formation de réponse aux incidents | Environnements de formation automatisée Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Test de réponse aux incidents

ID : NIST SP 800-53 Rev. 4 IR-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1358 - Test de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

ID : NIST SP 800-53 Rev. 4 IR-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1359 - Test de réponse aux incidents | Coordination avec les plans associés Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Gestion des incidents

ID : NIST SP 800-53 Rev. 4 IR-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1360 - Gestion des incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1361 - Gestion des incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1362 - Gestion des incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Processus de gestion des incidents automatisés

ID : NIST SP 800-53 Rev. 4 IR-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1363 - Gestion des incidents | Processus de gestion des incidents automatisés Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Reconfiguration dynamique

ID : NIST SP 800-53 Rev. 4 IR-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1364 - Gestion des incidents | Reconfiguration dynamique Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Continuité des opérations

ID : NIST SP 800-53 Rev. 4 IR-4 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1365 - Gestion des incidents | Continuité des opérations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Corrélation des informations

ID : NIST SP 800-53 Rev. 4 IR-4 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1366 - Gestion des incidents | Corrélation des opérations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Menaces internes - capacités spécifiques

ID : NIST SP 800-53 Rev. 4 IR-4 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1367 - Gestion des incidents | Menaces internes - Capacités spécifiques Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Corrélation avec des organisations externes

ID : NIST SP 800-53 Rev. 4 IR-4 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1368 - Gestion des incidents | Corrélation avec des organisations externes Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Surveillance des incidents

ID : NIST SP 800-53 Rev. 4 IR-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1369 - Surveillance des incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Suivi/collecte des données/analyse automatisés

ID : NIST SP 800-53 Rév. 4 IR-5 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1370 - Monitoring des incidents | Suivi/Collecte des données/Analyse automatisés Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Rapports d’incidents

ID : NIST SP 800-53 Rév. 4 IR-6 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1371 - Rapports d’incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1372 - Rapports d’incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Création de rapports automatisée

ID : NIST SP 800-53 Rev. 4 IR-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1373 - Rapports d’incidents | Création de rapports automatisée Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

ID : NIST SP 800-53 Rev. 4 IR-6 (2) Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Assistance sur les réponses aux incidents

ID : NIST SP 800-53 Rev. 4 IR-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1374 - Assistance sur les réponses aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Prise en charge de l’automatisation pour la disponibilité des informations/support

ID : NIST SP 800-53 Rev. 4 IR-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1375 - Assistance sur les réponses aux incidents | Prise en charge de l’automatisation pour la disponibilité des informations/Support Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Coordination avec les fournisseurs externes

ID : NIST SP 800-53 Rev. 4 IR-7 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1376 - Assistance de réponse aux incidents | Coordination avec les fournisseurs externes Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1377 - Assistance de réponse aux incidents | Coordination avec les fournisseurs externes Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Plan de réponse aux incidents

ID : NIST SP 800-53 Rev. 4 IR-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1378 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1379 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1380 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1381 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1382 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1383 - Plan de réponse aux incidents Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Réponse aux débordements d’informations

ID : NIST SP 800-53 Rev. 4 IR-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1384 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1385 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1386 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1387 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1388 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0
Microsoft Managed Control 1389 - Réponse aux débordements d’informations Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Personnel responsable

ID : NIST SP 800-53 Rev. 4 IR-9 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1390 - Réponse aux débordements d’informations | Personnel responsable Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Entrainement

ID : NIST SP 800-53 Rev. 4 IR-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1391 - Réponse aux débordements d’informations | Formation Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Opérations post-débordements

ID : NIST SP 800-53 Rev. 4 IR-9 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1392 - Réponse aux débordements d’informations | Opérations post-débordements Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Exposition au personnel non autorisé

ID : NIST SP 800-53 Rev. 4 IR-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1393 - Réponse aux débordements d’informations | Exposition au personnel non autorisé Microsoft met en œuvre ce contrôle de réponse aux incidents audit 1.0.0

Maintenance

Stratégie et procédures de maintenance du système

ID : NIST SP 800-53 Rev. 4 MA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1394 - Stratégie et procédures de maintenance du système Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1395 - Stratégie et procédures de maintenance du système Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Maintenance contrôlée

ID : NIST SP 800-53 Rev. 4 MA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1396 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1397 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1398 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1399 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1400 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1401 - Maintenance contrôlée Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Activités de maintenance automatiques

ID : NIST SP 800-53 Rev. 4 MA-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1402 - Maintenance contrôlée | Activités de maintenance automatiques Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1403 - Maintenance contrôlée | Activités de maintenance automatiques Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Outils de maintenance

ID : NIST SP 800-53 Rev. 4 MA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1404 - Outils de maintenance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Inspection des outils

ID : NIST SP 800-53 Rev. 4 MA-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1405 - Outils de maintenance | Inspection des outils Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Inspection des supports

ID : NIST SP 800-53 Rev. 4 MA-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1406 - Personnel en charge de la maintenance | Inspection des supports Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Empêcher le retrait non autorisé

ID : NIST SP 800-53 Rev. 4 MA-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1407 - Outils de maintenance | Empêcher le retrait non autorisé Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1408 - Outils de maintenance | Empêcher le retrait non autorisé Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1409 - Outils de maintenance | Empêcher le retrait non autorisé Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1410 - Outils de maintenance | Empêcher le retrait non autorisé Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Maintenance non locale

ID : NIST SP 800-53 Rev. 4 MA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1411 – Maintenance à distance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1412 – Maintenance à distance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1413 – Maintenance à distance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1414 – Maintenance à distance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1415 – Maintenance à distance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Documenter la maintenance non locale

ID : NIST SP 800-53 Rev. 4 MA-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1416 - Maintenance à distance | Maintenance à distance du document Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Sécurité/assainissement comparable

ID : NIST SP 800-53 Rev. 4 MA-4 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1417 – Maintenance à distance | Sécurité et assainissement comparables Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1418 – Maintenance à distance | Sécurité et assainissement comparables Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Protection par chiffrement

ID : NIST SP 800-53 Rev. 4 MA-4 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1419 – Maintenance à distance | Protection par chiffrement Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Personnel en charge de la maintenance

ID : NIST SP 800-53 Rev. 4 MA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1420 - Personnel en charge de la maintenance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1421 - Personnel en charge de la maintenance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1422 - Personnel en charge de la maintenance Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Individus sans accès approprié

ID : NIST SP 800-53 Rev. 4 MA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1423 - Personnel en charge de la maintenance | Individus sans accès approprié Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0
Microsoft Managed Control 1424 - Personnel en charge de la maintenance | Individus sans accès approprié Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Maintenance adéquate

ID : NIST SP 800-53 Rev. 4 MA-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1425 - Maintenance adéquate Microsoft met en œuvre implémente ce contrôle de maintenance audit 1.0.0

Protection média

Procédures et stratégie de protection des supports

ID : NIST SP 800-53 Rev. 4 MP-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1426 - Procédures et stratégie de protection des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1427 - Procédures et stratégie de protection des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Accès aux supports

ID : NIST SP 800-53 Rev. 4 MP-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1428 - Accès aux supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Marquage de supports

ID : NIST SP 800-53 Rev. 4 MP-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1429 – Étiquetage des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1430 – Étiquetage des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Supports de stockage

ID : NIST SP 800-53 Rev. 4 MP-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1431 - Stockage de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1432 - Stockage de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Transport de supports

ID : NIST SP 800-53 Rev. 4 MP-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1433 - Transport de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1434 - Transport de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1435 - Transport de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1436 - Transport de supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Protection par chiffrement

ID : NIST SP 800-53 Rev. 4 MP-5 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1437 - Transport de supports | Protection par chiffrement Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Assainissement des supports

ID : NIST SP 800-53 Rev. 4 MP-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1438 – Assainissement et cession des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0
Microsoft Managed Control 1439 – Assainissement et cession des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Examiner/approuver/suivre/documenter/vérifier

ID : NIST SP 800-53 Rev. 4 MP-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1440 – Assainissement de supports | Examen, approbation, suivi, documentation et vérification Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Test de l’équipement

ID : NIST SP 800-53 Rev. 4 MP-6 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1441 – Assainissement et cession des supports | Test de l’équipement Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Méthodes non destructrices

ID : NIST SP 800-53 Rév. 4 MP-6 (3) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1442 – Assainissement et cession des supports | Techniques non destructrices Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Utilisation des supports

ID : NIST SP 800-53 Rev. 4 MP-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1443 - Utilisation des supports Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Interdire l’utilisation en absence de propriétaire

ID : NIST SP 800-53 Rev. 4 MP-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1444 - Utilisation des supports | Interdire l’utilisation en absence de propriétaire Microsoft met en œuvre ce contrôle de protection média audit 1.0.0

Protection physique et environnementale

Stratégie et procédures de protection physique et environnementale

ID : NIST SP 800-53 Rev. 4 PE-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1445 - Stratégie et procédures de protection physique et environnementale Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1446 - Stratégie et procédures de protection physique et environnementale Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Autorisations d’accès physique

ID : NIST SP 800-53 Rev. 4 PE-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1447 - Autorisations d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1448 - Autorisations d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1449 - Autorisations d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1450 - Autorisations d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Contrôle d’accès physique

ID : NIST SP 800-53 Rev. 4 PE-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1451 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1452 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1453 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1454 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1455 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Contrôle managé Microsoft 1456 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1457 - Contrôle d’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Accès au système d’information

ID : NIST SP 800-53 Rév. 4 PE-3 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1458 - Contrôle d’accès physique | Accès au système d’information Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Contrôle d’accès pour les moyens de transmission

ID : NIST SP 800-53 Rev. 4 PE-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1459 - Contrôle d’accès pour les moyens de transmission Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Contrôle d’accès aux périphériques de sortie

ID : NIST SP 800-53 Rev. 4 PE-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1460 - Contrôle d’accès aux périphériques de sortie Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Surveillance de l’accès physique

ID : NIST SP 800-53 Rév. 4 PE-6 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1461 - Surveillance de l’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Contrôle managé Microsoft 1462 - Surveillance de l’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Contrôle managé Microsoft 1463 - Surveillance de l’accès physique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Alarmes d’intrusion/équipements de surveillance

ID : NIST SP 800-53 Rev. 4 PE-6 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1464 - Monitoring de l’accès physique | Alarmes d’intrusion/Équipement de monitoring Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Surveillance de l’accès physique aux systèmes d’information

ID : NIST SP 800-53 Rév. 4 PE-6 (4) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1465 - Monitoring de l’accès physique | Monitoring de l’accès physique aux systèmes d’informations Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Enregistrements des accès des visiteurs

ID : NIST SP 800-53 Rev. 4 PE-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1466 - Enregistrements des accès des visiteurs Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1467 - Enregistrements des accès des visiteurs Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Tenue à jour et analyse des enregistrements automatisés

ID : NIST SP 800-53 Rév. 4 PE-8 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1468 - Enregistrements des accès des visiteurs | Tenue à jour et analyse des enregistrements automatisés Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Équipement et câblage d’alimentation

ID : NIST SP 800-53 Rév. 4 PE-9 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1469 - Équipement et câblage d’alimentation Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Arrêt d’urgence

ID : NIST SP 800-53 Rév. 4 PE-10 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1470 - Arrêt d’urgence Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1471 - Arrêt d’urgence Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1472 - Arrêt d’urgence Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Alimentation de secours

ID : NIST SP 800-53 Rév. 4 PE-11 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1473 - Alimentation de secours Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Alimentation secondaire à long terme : capacité opérationnelle minimale

ID : NIST SP 800-53 Rév. 4 PE-11 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1474 - Alimentation de secours | Alimentation secondaire à long terme - Capacité opérationnelle minimale Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Éclairage de secours

ID : NIST SP 800-53 Rev. 4 PE-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1475 - Éclairage de secours Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Protection incendie

ID : NIST SP 800-53 Rev. 4 PE-13 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1476 - Protection incendie Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Dispositifs/systèmes de détection

ID : NIST SP 800-53 Rev. 4 PE-13 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1477 - Protection incendie | Dispositifs/Systèmes de détection Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Dispositifs/systèmes d’extinction

ID : NIST SP 800-53 Rev. 4 PE-13 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1478 - Protection incendie | Dispositifs/Systèmes d’extinction Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Extinction automatique

ID : NIST SP 800-53 Rev. 4 PE-13 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1479 - Protection incendie | Extinction automatique Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Contrôles de température et d’humidité

ID : NIST SP 800-53 Rev. 4 PE-14 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1480 - Contrôles de température et d’humidité Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1481 - Contrôles de température et d’humidité Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Surveillance à l’aide d’alarmes et de notifications

ID : NIST SP 800-53 Rev. 4 PE-14 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1482 - Contrôles de température et d’humidité | Monitoring à l’aide d’alarmes et de notifications Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Protection contre les dégâts des eaux

ID : NIST SP 800-53 Rev. 4 PE-15 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1483 - Protection contre les dégâts des eaux Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Prise en charge de l’automation

ID : NIST SP 800-53 Rév. 4 PE-15 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1484 - Protection contre les dégâts des eaux | Prise en charge de l’automation Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Livraison et élimination

ID : NIST SP 800-53 Rev. 4 PE-16 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1485 - Livraison et élimination Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Site de travail de secours

ID : NIST SP 800-53 Rev. 4 PE-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1486 - Site de travail de secours Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1487 - Site de travail de secours Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0
Microsoft Managed Control 1488 - Site de travail de secours Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Emplacement des composants du système d’information

ID : NIST SP 800-53 Rev. 4 PE-18 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1489 - Emplacement des composants du système d’information Microsoft met en œuvre ce contrôle de protection physique et environnementale audit 1.0.0

Planification

Stratégie et procédures de planification de la sécurité

ID : NIST SP 800-53 Rev. 4 PL-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1490 - Stratégie et procédures de planification de la sécurité Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1491 - Stratégie et procédures de planification de la sécurité Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Plan de sécurité système

ID : NIST SP 800-53 Rev. 4 PL-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1492 - Plan de sécurité système Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1493 - Plan de sécurité système Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1494 - Plan de sécurité système Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1495 - Plan de sécurité système Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1496 - Plan de sécurité système Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Planifier/coordonner avec d’autres entités organisationnelles

ID : NIST SP 800-53 Rev. 4 PL-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1497 - Plan de sécurité système | Planifier/Coordonner avec d’autres entités organisationnelles Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Règles de comportement

ID : NIST SP 800-53 Rev. 4 PL-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1498 - Règles de comportement Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Contrôle managé Microsoft 1499 - Règles de comportement Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Contrôle managé Microsoft 1500 - Règles de comportement Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Contrôle managé Microsoft 1501 - Règles de comportement Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Restrictions liées aux réseaux sociaux et aux services de réseau

ID : NIST SP 800-53 Rev. 4 PL-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1502 - Règles de comportement | Restrictions liées aux réseaux sociaux et aux services de réseau Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Architecture de sécurité des informations

ID : NIST SP 800-53 Rev. 4 PL-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1503 - Architecture de sécurité des informations Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1504 - Architecture de sécurité des informations Microsoft met en œuvre ce contrôle de planification audit 1.0.0
Microsoft Managed Control 1505 - Architecture de sécurité des informations Microsoft met en œuvre ce contrôle de planification audit 1.0.0

Sécurité du personnel

Stratégie et procédures de sécurité du personnel

ID : NIST SP 800-53 Rev. 4 PS-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1506 - Stratégie et procédures de sécurité du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1507 - Stratégie et procédures de sécurité du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Désignation des risques de postes

ID : NIST SP 800-53 Rev. 4 PS-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1508 – Catégorisation des positions Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1509 – Catégorisation des positions Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1510 – Catégorisation des positions Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Sélection du personnel

ID : NIST SP 800-53 Rev. 4 PS-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1511 - Sélection du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1512 - Sélection du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Informations avec mesures de protection spéciales

ID : NIST SP 800-53 Rev. 4 PS-3 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1513 - Sélection du personnel | Informations avec mesures de protection spéciales Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1514 - Sélection du personnel | Informations avec mesures de protection spéciales Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Licenciement du personnel

ID : NIST SP 800-53 Rev. 4 PS-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1515 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1516 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1517 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1518 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1519 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1520 - Licenciement du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Notification automatisée

ID : NIST SP 800-53 Rev. 4 PS-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1521 - Licenciement du personnel | Notification automatisée Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Transfert du personnel

ID : NIST SP 800-53 Rev. 4 PS-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1522 - Transfert du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1523 - Transfert du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1524 - Transfert du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1525 - Transfert du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Accords d’accès

ID : NIST SP 800-53 Rev. 4 PS-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1526 - Accords d’accès Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1527 - Accords d’accès Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1528 - Accords d’accès Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Sécurité du personnel tiers

ID : NIST SP 800-53 Rev. 4 PS-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1529 - Sécurité du personnel tiers Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1530 - Sécurité du personnel tiers Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1531 - Sécurité du personnel tiers Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1532 - Sécurité du personnel tiers Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1533 - Sécurité du personnel tiers Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Sanctions du personnel

ID : NIST SP 800-53 Rev. 4 PS-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1534 - Sanctions du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0
Microsoft Managed Control 1535 - Sanctions du personnel Microsoft met en œuvre ce contrôle de sécurité du personnel audit 1.0.0

Évaluation des risques

Stratégie et procédures d’évaluation des risques

ID : NIST SP 800-53 Rev. 4 RA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1536 - Stratégie et procédures d’évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1537 - Stratégie et procédures d’évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Catégorisation de sécurité

ID : NIST SP 800-53 Rev. 4 RA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1538 - Catégorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Contrôle managé Microsoft 1539 - Catégorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Contrôle managé Microsoft 1540 - Catégorisation de sécurité Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Évaluation des risques

ID : NIST SP 800-53 Rev. 4 RA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1541 - Évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1542 - Évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Contrôle géré Microsoft 1543 - Évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1544 - Évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1545 - Évaluation des risques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Analyse des vulnérabilités

ID : NIST SP 800-53 Rev. 4 RA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1546 - Analyse des vulnérabilités Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1547- Analyse des vulnérabilités Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1548 - Analyse des vulnérabilités Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1549 - Analyse des vulnérabilités Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Microsoft Managed Control 1550 - Analyse des vulnérabilités Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. AuditIfNotExists, Désactivé 1.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 3.0.0
L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. AuditIfNotExists, Désactivé 1.0.0

Fonctionnalité de l’outil de mise à jour

ID : NIST SP 800-53 Rev. 4 RA-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1551 - Analyse des vulnérabilités | Fonctionnalité de l’outil de mise à jour Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Mise à jour en fonction de la fréquence/avant une nouvelle analyse/au moment de l’identification

ID : NIST SP 800-53 Rev. 4 RA-5 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1552 - Analyse des vulnérabilités | Mise à jour en fonction de la fréquence/avant une nouvelle analyse/au moment de l’identification Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Étendue/profondeur de couverture

ID : NIST SP 800-53 Rev. 4 RA-5 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1553 - Analyse des vulnérabilités | Étendue/Profondeur de couverture Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Informations pouvant être découvertes

ID : NIST SP 800-53 Rev. 4 RA-5 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1554 - Analyse des vulnérabilités | Informations pouvant être découvertes Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Accès privilégié

ID : NIST SP 800-53 Rev. 4 RA-5 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1555 - Analyse des vulnérabilités | Accès privilégié Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Analyses des tendances automatisées

ID : NIST SP 800-53 Rev. 4 RA-5 (6) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1556 - Analyse des vulnérabilités | Analyses des tendances automatisées Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Examen des journaux d’activité d’audit historiques

ID : NIST SP 800-53 Rev. 4 RA-5 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1557 - Analyse des vulnérabilités | Examen des journaux d’activité d’audit historiques Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Corrélation des informations d’analyse

ID : NIST SP 800-53 Rev. 4 RA-5 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1558 - Analyse des vulnérabilités | Corrélation des informations d’analyse Microsoft met en œuvre ce contrôle d’évaluation des risques audit 1.0.0

Acquisition du système et des services

Stratégie et procédures d’acquisition du système et des services

ID : NIST SP 800-53 Rev. 4 SA-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1559 - Stratégie et procédures d’acquisition du système et des services Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1560 - Stratégie et procédures d’acquisition du système et des services Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Allocation de ressources

ID : NIST SP 800-53 Rev. 4 SA-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1561 - Allocation de ressources Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle géré Microsoft 1562 -Allocation de ressources Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle géré Microsoft 1563 - Allocation de ressources Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Cycle de vie de développement de système

ID : NIST SP 800-53 Rev. 4 SA-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1564 - Cycle de vie de développement de système Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle géré Microsoft 1565 - Cycle de vie de développement de système Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle géré Microsoft 1566 - Cycle de vie de développement de système Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle géré Microsoft 1567 - Cycle de vie de développement de système Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Processus d’acquisition

ID : NIST SP 800-53 Rev. 4 SA-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1568 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1569 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1570 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1571 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1572 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1573 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1574 – Processus d’acquisitions Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Propriétés fonctionnelles des contrôles de sécurité

ID : NIST SP 800-53 Rev. 4 SA-4 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1575 – Processus d’acquisitions | Propriétés fonctionnelles des contrôles de sécurité Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Informations conception/mise en œuvre pour les contrôles de sécurité

ID : NIST SP 800-53 Rev. 4 SA-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1576 – Processus d’acquisitions | Informations sur la conception et la mise en œuvre des contrôles de sécurité Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Plan de surveillance continue

ID : NIST SP 800-53 Rev. 4 SA-4 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1577 – Processus d’acquisitions | Plan de monitoring continu Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Fonctions/ports/protocoles/services utilisés

ID : NIST SP 800-53 Rev. 4 SA-4 (9) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1578 – Processus d’acquisitions | Fonctions, ports, protocoles et services utilisés Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Utilisation des produits de vérification d’identité personnelle approuvés

ID : NIST SP 800-53 Rev. 4 SA-4 (10) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1579 – Processus d’acquisitions | Utilisation des produits PIV approuvés Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Documentation du système d’information

ID : NIST SP 800-53 Rev. 4 SA-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1580 - Documentation du système d’information Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle managé Microsoft 1581 - Documentation du système d’information Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle managé Microsoft 1582 - Documentation du système d’information Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle managé Microsoft 1583 - Documentation du système d’information Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Contrôle managé Microsoft 1584 - Documentation du système d’information Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Principes d’ingénierie de sécurité

ID : NIST SP 800-53 Rév. 4 SA-8 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1585 - Principes d’ingénierie de sécurité Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Services de système d’information externes

ID : NIST SP 800-53 Rev. 4 SA-9 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1586 - Services de système d’information externes Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1587 - Services de système d’information externes Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1588 - Services de système d’information externes Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Évaluation des risques/approbations organisationnelles

ID : NIST SP 800-53 Rev. 4 SA-9 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1589 - Services de système d’information externes | Évaluation des risques/approbations organisationnelles Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1590 - Services de système d’information externes | Évaluation des risques/approbations organisationnelles Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Identification des fonctions/ports/protocoles/services

ID : NIST SP 800-53 Rev. 4 SA-9 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1591 – Services de système d’information externes | Identification des fonctions, ports, protocoles… Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Intérêts cohérents des consommateurs et des fournisseurs

ID : NIST SP 800-53 Rev. 4 SA-9 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1592 - External Services de système d’information externes | Intérêts cohérents des consommateurs et des fournisseurs Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Traitement, Stockage et Emplacement du service

ID : NIST SP 800-53 Rev. 4 SA-9 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1593 - Services de système d’information externes | Traitement, stockage et emplacement du service Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Gestion de configuration par le développeur

ID : NIST SP 800-53 Rev. 4 SA-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1594 - Gestion de configuration par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1595 - Gestion de configuration par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1596 - Gestion de configuration par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1597 - Plan de gestion de la configuration Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1598 - Gestion de configuration par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Vérification de l’intégrité des logiciels/microprogrammes

ID : NIST SP 800-53 Rev. 4 SA-10 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1599 - Gestion de la configuration par le développeur | Vérification de l’intégrité des logiciels/microprogrammes Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Test et évaluation de la sécurité par le développeur

ID : NIST SP 800-53 Rev. 4 SA-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1600 - Test et évaluation de la sécurité par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1601 - Test et évaluation de la sécurité par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1602 - Test et évaluation de la sécurité par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1603 - Test et évaluation de la sécurité par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1604 - Test et évaluation de la sécurité par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Analyse statique du code

ID : NIST SP 800-53 Rév. 4 SA-11 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1605 - Test et évaluation de la sécurité par le développeur | Analyse statique du code Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Analyses des menaces et de la vulnérabilité

ID : NIST SP 800-53 Rév. 4 SA-11 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1606 - Test et évaluation de la sécurité par le développeur | Analyses des menaces et de la vulnérabilité Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Analyse dynamique du code

ID : NIST SP 800-53 Rév. 4 SA-11 (8) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1607 - Test et évaluation de la sécurité par le développeur | Analyse dynamique du code Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Protection de la chaîne d’approvisionnement

ID : NIST SP 800-53 Rev. 4 SA-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1608 - Protection de la chaîne d’approvisionnement Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Outils, normes et processus de développement

ID : NIST SP 800-53 Rev. 4 SA-15 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1609 - Outils, normes et processus de développement Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1610 - Outils, normes et processus de développement Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Formation fournie par le développeur

ID : NIST SP 800-53 Rev. 4 SA-16 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1611 - Formation fournie par le développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Conception et architecture de sécurité du développeur

ID : NIST SP 800-53 Rev. 4 SA-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1612 - Conception et architecture de sécurité du développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1613 - Conception et architecture de sécurité du développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0
Microsoft Managed Control 1614 - Conception et architecture de sécurité du développeur Microsoft met en œuvre ce contrôle d’acquisition du système et des services audit 1.0.0

Protection du système et des communications

Stratégie et procédures de protection du système et des communications

ID : NIST SP 800-53 Rev. 4 SC-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1615 - Stratégie et procédures de protection du système et des communications Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1616 - Stratégie et procédures de protection du système et des communications Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Partitionnement d’application

ID : NIST SP 800-53 Rev. 4 SC-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1617 - Partitionnement d’application Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Isolation des fonctions de sécurité

ID : NIST SP 800-53 Rev. 4 SC-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Managed Control 1618 - Isolation des fonctions de sécurité Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 1.1.1

Informations dans les ressources partagées

ID : NIST SP 800-53 Rév. 4 SC-4 Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1619 - Informations dans les ressources partagées Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protection contre le déni de service

ID : NIST SP 800-53 Rev. 4 SC-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure DDoS Protection doit être activé La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. AuditIfNotExists, Désactivé 3.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1620 - Protection contre le déni de service Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Disponibilité des ressources

ID : NIST SP 800-53 Rev. 4 SC-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1621 - Disponibilité des ressources Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protection de la limite

ID : NIST SP 800-53 Rev. 4 SC-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.1-deprecated
[Déconseillé] : Cognitive Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.1-deprecated
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.1.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 1.4.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1622 - Protection de la limite Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1623 - Protection de la limite Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1624 - Protection de la limite Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Points d’accès

ID : NIST SP 800-53 Rev. 4 SC-7 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.1-deprecated
[Déconseillé] : Cognitive Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.1-deprecated
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Refuser, Désactivé 1.0.2
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.0
Les ressources Azure AI Services doivent limiter l’accès réseau En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. Audit, Refuser, Désactivé 3.2.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.1.0
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Le pare-feu doit être activé pour Azure Key Vault Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 1.4.1
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Les espaces de travail Azure Synapse doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Désactivé 1.0.1
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
Microsoft Managed Control 1625 - Protection de la limite | Points d’accès Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0

Services de télécommunications externes

ID : NIST SP 800-53 Rev. 4 SC-7 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1626 - Protection de la limite | Services de télécommunications externes Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1627 - Protection de la limite | Services de télécommunications externes Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1628 - Protection de la limite | Services de télécommunications externes Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1629 - Protection de la limite | Services de télécommunications externes Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1630 - Protection de la limite | Services de télécommunications externes Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Refuser par défaut/autoriser par exception

ID : NIST SP 800-53 Rév. 4 SC-7 (5) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1631 - Protection de la limite | Refuser par défaut/autoriser par exception Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Empêcher le tunneling fractionné pour les appareils distants

ID : NIST SP 800-53 Rev. 4 SC-7 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1632 - Protection de la limite | Empêcher le tunneling fractionné pour les appareils distants Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Acheminer le trafic aux serveurs proxy authentifiés

ID : NIST SP 800-53 Rev. 4 SC-7 (8) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1633 - Protection de la limite | Router le trafic vers les serveurs proxy authentifiés Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Empêcher l’exfiltration non autorisée

ID : NIST SP 800-53 Rév. 4 SC-7 (10) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1634 - Protection de la limite | Empêcher l’exfiltration non autorisée Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protection basée sur l’hôte

ID : NIST SP 800-53 Rev. 4 SC-7 (12) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1635 - Protection de la limite | Protection basée sur hôte Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Isolation des outils de sécurité/mécanismes/composants de support

ID : NIST SP 800-53 Rev. 4 SC-7 (13) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1636 - Protection de la limite | Isolation des outils de sécurité/mécanismes/composants de support Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Échec en toute sécurité

ID : NIST SP 800-53 Rev. 4 SC-7 (18) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1637 - Protection de la limite | Échec sécurisé Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Isolation/ségrégation dynamique

ID : NIST SP 800-53 Rev. 4 SC-7 (20) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1638 - Protection de la limite | Isolation/Ségrégation dynamique Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Isolation des composants du système informatique

ID : NIST SP 800-53 Rev. 4 SC-7 (21) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1639 - Protection de la limite | Isolation des composants du système informatique Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Confidentialité et intégrité des transmissions

ID : NIST SP 800-53 Rev. 4 SC-8 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 9.1.0
Microsoft Managed Control 1640 - Confidentialité et intégrité des transmissions Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 3.0.1

Protection par chiffrement ou autre protection physique

ID : NIST SP 800-53 Rev. 4 SC-8 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.1.0
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 9.1.0
Microsoft Managed Control 1641 - Confidentialité et intégrité des transmissions | Protection par chiffrement ou protection physique différente Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. AuditIfNotExists, Désactivé 3.0.1

Déconnexion réseau

ID : NIST SP 800-53 Rev. 4 SC-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1642 - Déconnexion réseau Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Établissement et gestion de clés de chiffrement

ID : NIST SP 800-53 Rev. 4 SC-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. Audit, Refuser, Désactivé 1.0.0-preview
Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. Audit, Refuser, Désactivé 2.2.0
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. Audit, Refuser, Désactivé 1.0.0
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. Audit, Refuser, Désactivé 1.0.1
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé, Refus 1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. Audit, Refuser, Désactivé 1.0.0
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. Audit, Refuser, Désactivé 1.0.0
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. Audit, Refuser, Désactivé 1.1.0
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. Audit, Refuser, Désactivé 1.0.0
Bot Service doit être chiffré avec une clé gérée par le client Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. Audit, Désactivé 1.0.0
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Refuser, Désactivé 1.0.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. Audit, Refuser, Désactivé 1.0.0
Microsoft Managed Control 1643 - Établissement et gestion de clés de chiffrement Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 3.0.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. Audit, Désactivé 1.0.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1
Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé 1.0.3

Disponibilité

ID : NIST SP 800-53 Rev. 4 SC-12 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1644 - Établissement et gestion de clés de chiffrement | Disponibilité Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Clés symétriques

ID : NIST SP 800-53 Rev. 4 SC-12 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1645 - Établissement et gestion de clés de chiffrement | Clés symétriques Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Clés asymétriques

ID : NIST SP 800-53 Rev. 4 SC-12 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1646 - Établissement et gestion de clés de chiffrement | Clés asymétriques Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protection par chiffrement

ID : NIST SP 800-53 Rev. 4 SC-13 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1647 – Utilisation du chiffrement Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Appareils informatiques collaboratifs

ID : NIST SP 800-53 Rev. 4 SC-15 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1648 - Appareils informatiques collaboratifs Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Contrôle géré Microsoft 1649 - Appareils informatiques collaboratifs Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Certificats d’infrastructure de clé publique

ID : NIST SP 800-53 Rev. 4 SC-17 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1650 - Certificats d’infrastructure de clé publique Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Code mobile

ID : NIST SP 800-53 Rev. 4 SC-18 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1651 - Code mobile Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Contrôle géré Microsoft 1652 - Code mobile Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Contrôle géré Microsoft 1653 - Code mobile Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protocole voix sur IP (VoIP)

ID : NIST SP 800-53 Rev. 4 SC-19 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1654 - Protocole voix sur IP (VoIP) Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1655 - Protocole voix sur IP (VoIP) Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Service sécurisé de résolution de nom / d’adresse (source faisant autorité)

ID : NIST SP 800-53 Rev. 4 SC-20 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1656 - Service sécurisé de résolution de nom / d’adresse (source faisant autorité) Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
Microsoft Managed Control 1657 - Service sécurisé de résolution de nom / d’adresse (source faisant autorité) Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Service sécurisé de résolution de nom/d’adresse (outil de résolution récursif ou de mise en cache)

ID : NIST SP 800-53 Rev. 4 SC-21 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1658 - Service sécurisé de résolution de nom / d’adresse (outil de résolution récursif ou de mise en cache) Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Architecture et provisionnement du service de résolution de nom/d’adresse

ID : NIST SP 800-53 Rev. 4 SC-22 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1659 - Architecture et provisionnement du service de résolution de nom/d’adresse Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Authenticité de session

ID : NIST SP 800-53 Rev. 4 SC-23 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1660 - Authenticité de session Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Invalider les identificateurs de session lors de la déconnexion

ID : NIST SP 800-53 Rev. 4 SC-23 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1661 - Authenticité de session | Invalider les identificateurs de session lors de la déconnexion Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Échec en état connu

ID : NIST SP 800-53 Rev. 4 SC-24 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle managé Microsoft 1662 - Échec en état connu Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Protection des informations au repos

ID : NIST SP 800-53 Rev. 4 SC-28 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
Microsoft Managed Control 1663 - Protection des informations au repos Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0

Protection par chiffrement

ID : NIST SP 800-53 Rev. 4 SC-28 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
Microsoft Managed Control 1664 - Protection des informations au repos | Protection par chiffrement Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0

Isolation des processus

ID : NIST SP 800-53 Rev. 4 SC-39 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Contrôle géré Microsoft 1665 - Isolation des processus Microsoft met en œuvre ce contrôle de protection du système et des communications audit 1.0.0

Intégrité du système et des informations

Stratégie et procédures relatives à l’intégrité du système et des informations

ID : NIST SP 800-53 Rev. 4 SI-1 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1666 - Stratégie et procédures relatives à l’intégrité du système et des informations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1667 - Stratégie et procédures relatives à l’intégrité du système et des informations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Correction des défauts

ID : NIST SP 800-53 Rev. 4 SI-2 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Contrôle managé Microsoft 1668 - Correction des défauts Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1669 - Correction des défauts Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1670 - Correction des défauts Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1671 - Correction des défauts Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.1.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.1.0

Gestion centralisée

ID : NIST SP 800-53 Rév. 4 SI-2 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1672 - Correction des défauts | Gestion centralisée Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

État de la correction automatisée des défauts

ID : NIST SP 800-53 Rev. 4 SI-2 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1673 - Correction des défauts | État de la correction automatisée des défauts Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Délai de correction des défauts/évaluation des actions correctives

ID : NIST SP 800-53 Rev. 4 SI-2 (3) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1674 - Correction des défauts | Délai de correction des défauts/Évaluation des actions correctives Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1675 - Correction des défauts | Délai de correction des défauts/Évaluation des actions correctives Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Suppression des versions précédentes des logiciels/microprogrammes

ID : NIST SP 800-53 Rev. 4 SI-2 (6) Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2

Protection contre les codes malveillants

ID : NIST SP 800-53 Rev. 4 SI-3 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Managed Control 1676 - Protection contre les codes malveillants Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1677 - Protection contre les codes malveillants Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1678 - Protection contre les codes malveillants Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1679 - Protection contre les codes malveillants Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 1.1.1

Gestion centralisée

ID : NIST SP 800-53 Rev. 4 SI-3 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Managed Control 1680 - Protection contre les codes malveillants | Gestion centralisée Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 1.1.1

Mises à jour automatiques

ID : NIST SP 800-53 Rev. 4 SI-3 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1681 - Protection contre les codes malveillants | Mises à jour automatiques Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Détection de codes non basée sur la signature

ID : NIST SP 800-53 Rev. 4 SI-3 (7) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1682 - Protection contre les codes malveillants | Détection de codes non basée sur la signature Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Surveillance du système d’information

ID : NIST SP 800-53 Rev. 4 SI-4 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 4.0.1-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour le stockage (classique) doit être activé Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.4
Microsoft Managed Control 1683 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1684 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1685 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1686 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1687 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1688 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Contrôle managé Microsoft 1689 - Surveillance du système d’information Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1

Système de détection des intrusions à l’échelle du système

ID : NIST SP 800-53 Rév. 4 SI-4 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1690 - Monitoring du système d’information | Système de détection des intrusions à l’échelle du réseau Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Outils automatisés pour l’analyse en temps réel

ID : NIST SP 800-53 Rev. 4 SI-4 (2) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1691 - Monitoring du système d’information | Outils automatisés pour l’analyse en temps réel Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Trafic des communications entrantes et sortantes

ID : NIST SP 800-53 Rev. 4 SI-4 (4) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1692 - Monitoring du système d’information | Trafic des communications entrantes et sortantes Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Alertes générées par le système

ID : NIST SP 800-53 Rev. 4 SI-4 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1693 - Monitoring du système d’information | Alertes générées par le système Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Analyse du trafic des communications

ID : NIST SP 800-53 Rév. 4 SI-4 (11) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1694 - Monitoring du système d’information | Analyse du trafic des communications Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Alertes automatisées

ID : NIST SP 800-53 Rev. 4 SI-4 (12) Propriété : Client

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1

Détection sans fil des intrusions

ID : NIST SP 800-53 Rev. 4 SI-4 (14) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1695 - Monitoring du système d’information | Détection sans fil des intrusions Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Mettre en corrélation les informations de surveillance

ID : NIST SP 800-53 Rév. 4 SI-4 (16) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1696 - Monitoring du système d’informations | Mettre en corrélation les informations de monitoring Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Analyser le trafic/l’exfiltration secrète

ID : NIST SP 800-53 Rév. 4 SI-4 (18) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1697 - Monitoring du système d’information | Analyser le trafic/l’exfiltration secrète Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Personnes présentant un risque accru

ID : NIST SP 800-53 Rév. 4 SI-4 (19) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1698 - Monitoring du système d’information | Personnes présentant un risque accru Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Utilisateur privilégié

ID : NIST SP 800-53 Rév. 4 SI-4 (20) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1699 - Monitoring du système d’information | Utilisateurs privilégiés Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Services réseau non autorisés

ID : NIST SP 800-53 Rev. 4 SI-4 (22) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1700 - Monitoring du système d’information | Services réseau non autorisés Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Appareils basés sur l’hôte

ID : NIST SP 800-53 Rév. 4 SI-4 (23) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1701 - Monitoring du système d’information | Appareils basés sur l’hôte Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Indicateurs de compromission

ID : NIST SP 800-53 Rev. 4 SI-4 (24) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1702 - Monitoring du système d’information | Indicateurs de compromission Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Alertes de sécurité, conseils et directives

ID : NIST SP 800-53 Rev. 4 SI-5 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1703 - Security Alerts & Advisories Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1704 - Security Alerts & Advisories Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1705 - Security Alerts & Advisories Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1706 - Security Alerts & Advisories Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Alertes et conseils automatisés

ID : NIST SP 800-53 Rev. 4 SI-5 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1707 - Security Alerts & Advisories | Automated Alerts And Advisories Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Vérification de la fonction de sécurité

ID : NIST SP 800-53 Rev. 4 SI-6 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1708 – Vérification des fonctionnalités de sécurité Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1709 – Vérification des fonctionnalités de sécurité Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1710 – Vérification des fonctionnalités de sécurité Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1711 – Vérification des fonctionnalités de sécurité Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Intégrité des informations, des microprogrammes et des logiciels

ID : NIST SP 800-53 Rev. 4 SI-7 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1712 - Software & Information Integrity Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Vérifications de l’intégrité

ID : NIST SP 800-53 Rev. 4 SI-7 (1) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1713 - Software & Information Integrity | Integrity Checks Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Notifications automatiques des violations de l’intégrité

ID : NIST SP 800-53 Rév. 4 SI-7 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1714 - Software & Information Integrity | Automated Notifications Of Integrity Violations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Réponse automatique en cas de violation de l’intégrité

ID : NIST SP 800-53 Rev. 4 SI-7 (5) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1715 - Software & Information Integrity | Automated Response To Integrity Violations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Intégration de la détection et de la réponse

ID : NIST SP 800-53 Rév. 4 SI-7 (7) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1716 - Software & Information Integrity | Integration Of Detection And Response Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Code binaire ou exécutable sur la machine

ID : NIST SP 800-53 Rev. 4 SI-7 (14) Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1717 - Software & Information Integrity | Binary Or Machine Executable Code Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1718 - Software & Information Integrity | Binary Or Machine Executable Code Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Protection contre les courriers indésirables

ID : NIST SP 800-53 Rév. 4 SI-8 (18) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1719 - Protection contre les courriers indésirables Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1720 - Protection contre les courriers indésirables Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Gestion centralisée

ID : NIST SP 800-53 Rév. 4 SI-8 (1) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1721 - Protection contre les courriers indésirables | Gestion centralisée Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Mises à jour automatiques

ID : NIST SP 800-53 Rév. 4 SI-8 (2) Propriété : Microsoft

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1722 - Protection contre les courriers indésirables | Mises à jour automatiques Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Validation des entrées d’informations

ID : NIST SP 800-53 Rev. 4 SI-10 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1723 - Validation des entrées d’informations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Gestion des erreurs

ID : NIST SP 800-53 Rev. 4 SI-11 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1724 - Gestion des erreurs Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Microsoft Managed Control 1725 - Gestion des erreurs Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Conservation et gestion des informations

ID : NIST SP 800-53 Rev. 4 SI-12 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Microsoft Managed Control 1726 – Gestion et rétention de la sortie des informations Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0

Protection de la mémoire

ID : NIST SP 800-53 Rev. 4 SI-16 Propriété : Partagée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Microsoft Managed Control 1727 - Protection de la mémoire Microsoft met en œuvre ce contrôle d’intégrité du système et des informations audit 1.0.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 1.1.1

Étapes suivantes

Autres articles sur Azure Policy :