Détails de l’initiative intégrée Conformité réglementaire pour NIST SP 800-53 Rév. 5 (Azure Government)
L’article suivant explique en détail comment la définition de l’initiative intégrée Conformité réglementaire Azure Policy est mappée à des domaines de conformité et des contrôles dans NIST SP 800-53 Rév. 5 (Azure Government). Pour plus d’informations sur cette norme de conformité, consultez NIST SP 800-53 Rév. 5. Pour comprendre la Propriété, consultez le type de stratégie et la responsabilité partagée dans le cloud.
Les mappages suivants concernent les contrôles NIST SP 800-53 Rév. 5. De nombreux contrôles sont mis en œuvre avec la définition d’une initiative Azure Policy. Pour examiner la définition d’initiative complète, ouvrez Stratégie dans le Portail Azure et sélectionnez la page Définitions. Ensuite, recherchez et sélectionnez la définition d’initiative intégrée de conformité réglementaire NIST SP 800-53 Rev. 5.
Important
Chaque contrôle ci-dessous est associé à une ou plusieurs définitions Azure Policy. Ces stratégies peuvent vous aider à évaluer la conformité avec le contrôle ; toutefois, il n’existe pas souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs stratégies. Ainsi, la conformité dans Azure Policy fait uniquement référence aux définitions de stratégie elles-mêmes ; cela ne garantit pas que vous êtes entièrement conforme à toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de conformité global. Les associations entre les domaines de conformité, les contrôles et les définitions Azure Policy pour cette norme de conformité peuvent changer au fil du temps. Pour afficher l’historique des changements, consultez l’historique des validations GitHub.
Contrôle d’accès
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 AC-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1000 – Exigences de la stratégie et des procédures de contrôle d’accès | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1001 – Exigences de la stratégie et des procédures de contrôle d’accès | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Gestion de compte
ID : NIST SP 800-53 Rev. 5 AC-2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Managed Control 1002 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1003 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1004 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1005 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1006 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1007 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1008 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1009 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1010 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1011 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1012 - Gestion des comptes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1022 - Gestion des comptes | Résiliation des informations d’identification de compte partagé/de groupe | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Gestion automatisée des comptes système
ID : NIST SP 800-53 Rev. 5 AC-2 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Microsoft Managed Control 1013 - Gestion des comptes | Gestion automatisée des comptes du système | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Gestion automatisée des comptes temporaires et d’urgence
ID : NIST SP 800-53 Rev. 5 AC-2 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1014 - Gestion des comptes | Suppression des comptes temporaires et d’urgence | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Désactivation des comptes
ID : NIST SP 800-53 Rev. 5 AC-2 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1015 - Gestion des comptes | Désactiver les comptes inactifs | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Actions d’audit automatisées
ID : NIST SP 800-53 Rev. 5 AC-2 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1016 - Gestion des comptes | Mesures d’audit automatisées | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Déconnexion pour inactivité
ID : NIST SP 800-53 Rev. 5 AC-2 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1017 - Gestion des comptes | Déconnexion pour inactivité | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Comptes d’utilisateur privilégiés
ID : NIST SP 800-53 Rev. 5 AC-2 (7) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Microsoft Managed Control 1018 - Gestion des comptes | Schémas basés sur des rôles | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1019 - Gestion des comptes | Schémas basés sur des rôles | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1020 - Gestion des comptes | Schémas basés sur des rôles | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Restrictions sur l’utilisation des comptes partagés et des comptes de groupe
ID : NIST SP 800-53 Rev. 5 AC-2 (9) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1021 - Gestion des comptes | Restrictions sur l’utilisation des comptes partagés/de groupe | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Conditions d’utilisation
ID : NIST SP 800-53 Rev. 5 AC-2 (11) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1023 - Gestion des comptes | Conditions d’utilisation | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Surveillance de compte pour toute utilisation atypique
ID : NIST SP 800-53 Rev. 5 AC-2 (12) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1024 - Gestion des comptes | Monitoring des comptes/Utilisation atypique | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1025 - Gestion des comptes | Monitoring des comptes/Utilisation atypique | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Désactiver les comptes des personnes à risque élevé
ID : NIST SP 800-53 Rev. 5 AC-2 (13) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1026 - Gestion des comptes | Désactiver les comptes des personnes à risque élevé | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Application de l’accès
ID : NIST SP 800-53 Rev. 5 AC-3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer les machines Linux qui ont des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe | AuditIfNotExists, Désactivé | 1.4.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1027 - Application de l’accès | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. | Audit, Refuser, Désactivé | 1.0.0 |
Contrôle d’accès en fonction du rôle
ID : NIST SP 800-53 Rev. 5 AC-3 (7) Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes | Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. | Audit, Désactivé | 1.0.4 |
Application du flux d’informations
ID : NIST SP 800-53 Rev. 5 AC-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
| [Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 1.4.1 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1028 - Application du flux d’informations | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
Contrôle de flux d’informations dynamiques
ID : NIST SP 800-53 Rev. 5 AC-4 (3) Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
Filtres de stratégie de sécurité et de confidentialité
ID : NIST SP 800-53 Rev. 5 AC-4 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1029 - Application du flux d’informations | Filtres de stratégie de sécurité | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Séparation physique ou logique des flux d’informations
ID : NIST SP 800-53 Rev. 5 AC-4 (21) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1030 - Application du flux d’informations | Séparation physique/logique des flux d’informations | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Séparation des tâches
ID : NIST SP 800-53 Rev. 5 AC-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1031 - Séparation des tâches | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1032 - Séparation des tâches | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1033 - Séparation des tâches | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
Privilège minimum
ID : NIST SP 800-53 Rev. 5 AC-6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Microsoft Managed Control 1034 - Privilège minimum | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Autoriser l’accès aux fonctions de sécurité
ID : NIST SP 800-53 Rev. 5 AC-6 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1035 - Privilège minimum | Autoriser l’accès aux fonctions de sécurité | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Accès non privilégié aux fonctions non sécuritaires
ID : NIST SP 800-53 Rev. 5 AC-6 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1036 - Privilège minimum | Accès non privilégié aux fonctions non sécuritaires | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Accès réseau aux commandes privilégiées
ID : NIST SP 800-53 Rev. 5 AC-6 (3) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1037 - Privilège minimum | Accès réseau aux commandes privilégiées | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Comptes privilégiés
ID : NIST SP 800-53 Rev. 5 AC-6 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1038 - Privilège minimum | Comptes privilégiés | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Révision des privilèges utilisateur
ID : NIST SP 800-53 Rev. 5 AC-6 (7) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, Désactivé | 1.0.1 |
| Microsoft Managed Control 1039 - Privilège minimum | Révision des privilèges utilisateur | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1040 - Privilège minimum | Révision des privilèges utilisateur | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Niveaux de privilège pour l’exécution du code
ID : NIST SP 800-53 Rev. 5 AC-6 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1041 - Privilège minimum | Niveaux de privilège pour l’exécution du code | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Consignation de l’utilisation des fonctions privilégiées
ID : NIST SP 800-53 Rev. 5 AC-6 (9) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1042 - Privilège minimum | Audit de l’utilisation des fonctions privilégiées | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Interdire aux utilisateurs non privilégiés d’exécuter des fonctions privilégiées
ID : NIST SP 800-53 Rev. 5 AC-6 (10) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1043 - Privilège minimum | Interdire aux utilisateurs non privilégiés d’exécuter des fonctions privilégiées | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Essais de connexion infructueux
ID : NIST SP 800-53 Rev. 5 AC-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1044 - Essais de connexion infructueux | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1045 - Essais de connexion infructueux | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Vidage et réinitialisation de l’appareil mobile
ID : NIST SP 800-53 Rev. 5 AC-7 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1046 – Tentatives d’ouverture de session infructueuses | Vidage et réinitialisation de l’appareil mobile | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Notification d’utilisation du système
ID : NIST SP 800-53 Rev. 5 AC-8 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1047 - Notification d’utilisation du système | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1048 - Notification d’utilisation du système | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1049 - Notification d’utilisation du système | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Contrôle des sessions simultanées
ID : NIST SP 800-53 Rev. 5 AC-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1050 - Contrôle des sessions simultanées | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Verrouillage d’appareil
ID : NIST SP 800-53 Rev. 5 AC-11 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1051 - Verrouillage de session | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1052 - Verrouillage de session | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Affichages masquant les motifs
ID : NIST SP 800-53 Rev. 5 AC-11 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1053 - Verrouillage de session | Masquage des informations à l’aide d’une image | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Arrêt de session
ID : NIST SP 800-53 Rev. 5 AC-12 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1054 - Arrêt de session | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Déconnexions à l’initiative de l’utilisateur
ID : NIST SP 800-53 Rev. 5 AC-12 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1055 - Arrêt de session | Déconnexions lancées par l’utilisateur/Affichages de messages | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1056 - Arrêt de session | Déconnexions lancées par l’utilisateur/Affichages de messages | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Actions autorisées sans identification ou authentification
ID : NIST SP 800-53 Rev. 5 AC-14 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1057 - Actions autorisées sans identification ou authentification | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1058 - Actions autorisées sans identification ou authentification | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Attributs de sécurité et de confidentialité
ID : NIST SP 800-53 Rev. 5 AC-16 Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
Accès à distance
ID : NIST SP 800-53 Rev. 5 AC-17 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
| [Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 1.4.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Microsoft Managed Control 1059 - Accès à distance | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1060 - Accès à distance | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
Supervision et contrôle
ID : NIST SP 800-53 Rev. 5 AC-17 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
| [Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe | AuditIfNotExists, Désactivé | 1.4.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Microsoft Managed Control 1061 - Accès à distance | Monitoring/Contrôle automatique | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
Protection de la confidentialité et de l’intégrité à l’aide du chiffrement
ID : NIST SP 800-53 Rev. 5 AC-17 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1062 - Accès à distance | Protection de la confidentialité et de l’intégrité à l’aide du chiffrement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Points de contrôle d’accès gérés
ID : NIST SP 800-53 Rev. 5 AC-17 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1063 - Accès à distance | Point de contrôle d’accès géré | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Commandes et accès privilégiés
ID : NIST SP 800-53 Rev. 5 AC-17 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1064 - Accès à distance | Commandes/Accès privilégiés | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1065 - Accès à distance | Commandes/Accès privilégiés | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Déconnexion et désactivation de l’accès
ID : NIST SP 800-53 Rev. 5 AC-17 (9) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1066 - Accès à distance | Déconnexion/Désactivation de l’accès | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Accès sans fil
ID : NIST SP 800-53 Rev. 5 AC-18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1067 – Restrictions de l’accès sans fil | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1068 – Restrictions de l’accès sans fil | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Authentification et chiffrement
ID : NIST SP 800-53 Rev. 5 AC-18 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1069 – Restrictions de l’accès sans fil | Authentification et chiffrement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Désactiver la mise en réseau sans fil
ID : NIST SP 800-53 Rev. 5 AC-18 (3) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1070 – Restrictions de l’accès sans fil | Désactivation de la mise en réseau sans fil | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Restriction des configurations par les utilisateurs
ID : NIST SP 800-53 Rev. 5 AC-18 (4) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1071 – Restrictions de l’accès sans fil | Restriction des configurations par les utilisateurs | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Antennes et niveaux de puissance de transmission
ID : NIST SP 800-53 Rev. 5 AC-18 (5) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1072 – Restrictions de l’accès sans fil | Antennes et niveaux de puissance de transmission | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Contrôle d’accès pour les appareils mobiles
ID : NIST SP 800-53 Rev. 5 AC-19 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1073 – Access Control pour les systèmes portables et mobiles | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1074 – Contrôle d’accès pour les systèmes portables et mobiles | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Chiffrement complet de l’appareil ou du conteneur
ID : NIST SP 800-53 Rev. 5 AC-19 (5) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1075 – Contrôle d’accès pour les systèmes portables et mobiles | Chiffrement complet de l’appareil ou du conteneur | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Utilisation de systèmes externes
ID : NIST SP 800-53 Rev. 5 AC-20 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1076 - Utilisation de systèmes d’information externes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1077 - Utilisation de systèmes d’information externes | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Limites d’utilisation autorisée
ID : NIST SP 800-53 Rev. 5 AC-20 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1078 - Utilisation de systèmes d’information externes | Limites d’utilisation autorisée | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1079 - Utilisation de systèmes d’information externes | Limites d’utilisation autorisée | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Appareils de stockage portables ??? Utilisation restreinte
ID : NIST SP 800-53 Rev. 5 AC-20 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1080 - Utilisation de systèmes d’informations externes | Appareils de stockage portables | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Partage d’informations
ID : NIST SP 800-53 Rev. 5 AC-21 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1081 - Partage d’informations | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1082 - Partage d’informations | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Contenu accessible publiquement
ID : NIST SP 800-53 Rev. 5 AC-22 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1083 - Contenu accessible publiquement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1084 - Contenu accessible publiquement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1085 - Contenu accessible publiquement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
| Microsoft Managed Control 1086 - Contenu accessible publiquement | Microsoft met en œuvre ce contrôle Access Control | audit | 1.0.0 |
Reconnaissance et formation
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 AT-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1087 - Politique et procédures de sensibilisation et de formation à la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1088 - Politique et procédures de formation et de sensibilisation à la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Alphabétisation et sensibilisation
ID : NIST SP 800-53 Rev. 5 AT-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1089 – Sensibilisation à la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1090 – Sensibilisation à la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1091 – Sensibilisation à la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Menace interne
ID : NIST SP 800-53 Rev. 5 AT-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1092 – Sensibilisation à la sécurité | Menace interne | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Formation en fonction du rôle
ID : NIST SP 800-53 Rev. 5 AT-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1093 - Formation sur la sécurité en fonction du rôle | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1094 - Formation sur la sécurité en fonction du rôle | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1095 - Formation sur la sécurité en fonction du rôle | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Exercices pratiques
ID : NIST SP 800-53 Rev. 5 AT-3 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1096 - Formation sur la sécurité en fonction du rôle | Exercices pratiques | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Enregistrements des formations
ID : NIST SP 800-53 Rev. 5 AT-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1098 - Enregistrements de formation sur la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
| Microsoft Managed Control 1099 - Enregistrements de formation sur la sécurité | Microsoft met en œuvre ce contrôle de sensibilisation et de formation | audit | 1.0.0 |
Audit et responsabilité
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 AU-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1100 - Stratégie et procédures d’audit et de responsabilité | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1101 - Stratégie et procédures d’audit et de responsabilité | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Journalisation des événements
ID : NIST SP 800-53 Rev. 5 AU-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1102 - Événements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1103 - Événements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1104 - Événements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1105 - Événements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1106 - Audit Events | Revues et mises à jour | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Contenu des enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1107 - Contenu des enregistrements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Informations d'audit supplémentaires
ID : NIST SP 800-53 Rev. 5 AU-3 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1108 - Contenu des enregistrements d’audit | Informations d’audit supplémentaires | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Capacité de stockage des journaux d’audit
ID : NIST SP 800-53 Rev. 5 AU-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1110 - Capacité de stockage de l’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Réponse aux échecs des processus de journalisation d’audit
ID : NIST SP 800-53 Rev. 5 AU-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1111 - Réponse aux échecs du processus d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1112 - Réponse aux échecs du processus d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Avertissement de capacité de stockage
ID : NIST SP 800-53 Rev. 5 AU-5 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1113 - Réponse aux échecs du processus d’audit | Capacité de stockage de l’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Alertes en temps réel
ID : NIST SP 800-53 Rev. 5 AU-5 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1114 - Réponse aux échecs du processus d’audit | Alertes en temps réel | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Révision, analyse et rapports d’enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1115 - Révision, analyse et rapports d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1116 - Révision, analyse et rapports d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1123 - Révision, analyse et rapports d’audit | Ajustement du niveau d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
Intégration automatisée des processus
ID : NIST SP 800-53 Rev. 5 AU-6 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1117 - Révision, analyse et rapports d’audit | Intégration de processus | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Corrélation des référentiels des enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-6 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1118 - Révision, analyse et rapports d’audit | Mettre en corrélation les dépôts d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Évaluation et analyse centralisées
ID : NIST SP 800-53 Rev. 5 AU-6 (4) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1119 - Révision, analyse et rapports d’audit | Révision et analyse centralisées | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Analyse intégrée des enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-6 (5) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1120 - Révision, analyse et rapports d’audit | Intégration/Analyse et fonctionnalités de monitoring | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Corrélation avec la surveillance physique
ID : NIST SP 800-53 Rev. 5 AU-6 (6) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1121 - Révision, analyse et rapports d’audit | Corrélation avec le monitoring physique | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Actions autorisées
ID : NIST SP 800-53 Rev. 5 AU-6 (7) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1122 - Révision, analyse et rapports d’audit | Actions autorisées | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Réduction des enregistrements d’audit et génération de rapports
ID : NIST SP 800-53 Rev. 5 AU-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1124 - Réduction des audits et génération de rapports | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1125 - Réduction des audits et génération de rapports | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Traitement automatique
ID : NIST SP 800-53 Rev. 5 AU-7 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1126 - Réduction des audits et génération de rapports | Traitement automatique | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Horodatages
ID : NIST SP 800-53 Rev. 5 AU-8 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1127 - Horodatages | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1128 - Horodatages | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Protection des informations d’audit
ID : NIST SP 800-53 Rev. 5 AU-9 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1131 - Protection des informations d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Stockage sur des systèmes ou des composants physiques distincts
ID : NIST SP 800-53 Rev. 5 AU-9 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1132 - Protection des informations d’audit | Sauvegarde de l’audit sur des composants/systèmes physiques distincts | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Protection par chiffrement
ID : NIST SP 800-53 Rev. 5 AU-9 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1133 - Protection des informations d’audit | Protection par chiffrement | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Accès par un sous-ensemble d’utilisateurs disposant de privilèges
ID : NIST SP 800-53 Rev. 5 AU-9 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1134 - Protection des informations d’audit | Accès par un sous-ensemble d’utilisateurs disposant de privilèges | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Non-répudiation
ID : NIST SP 800-53 Rev. 5 AU-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1135 - Non-répudiation | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Rétention des enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-11 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1136 - Rétention des enregistrements d’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
Génération d’enregistrements d’audit
ID : NIST SP 800-53 Rev. 5 AU-12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1137 - Génération de l’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1138 - Génération de l’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Microsoft Managed Control 1139 - Génération de l’audit | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Piste d’audit corrélée au temps et à l’échelle du système
ID : NIST SP 800-53 Rev. 5 AU-12 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1140 - Génération de l’audit | Piste d’audit à l’échelle du système ou liée au temps | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Modifications apportées par des personnes autorisées
ID : NIST SP 800-53 Rev. 5 AU-12 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1141 - Génération de l’audit | Modifications apportées par des personnes autorisées | Microsoft met en œuvre ce contrôle d’audit et de responsabilité | audit | 1.0.0 |
Évaluation, autorisation et monitoring
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 CA-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1142 – Stratégie et procédures de certification, d’autorisation et d’évaluation de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1143 – Stratégie et procédures de certification, d’autorisation et d’évaluation de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Contrôle des évaluations
ID : NIST SP 800-53 Rev. 5 CA-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1144 - Évaluations de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1145 - Évaluations de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1146 - Évaluations de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1147 - Évaluations de la sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Évaluateurs indépendants
ID : NIST SP 800-53 Rev. 5 CA-2 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1148 - Évaluations de la sécurité | Évaluateurs indépendants | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Évaluations spécialisées
ID : NIST SP 800-53 Rev. 5 CA-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1149 - Évaluations de la sécurité | Évaluations spécialisées | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Exploitation des résultats provenant des organisations externes
ID : NIST SP 800-53 Rev. 5 CA-2 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1150 - Évaluations de la sécurité | Organisations externes | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Échange d’informations
ID : NIST SP 800-53 Rev. 5 CA-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1151 - Interconnexions de systèmes | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1152 - Interconnexions de systèmes | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1153 - Interconnexions de systèmes | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Plan d’action et jalons
ID : NIST SP 800-53 Rev. 5 CA-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1156 - Plan d’action et jalons | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle géré Microsoft 1157 - Plan d’action et jalons | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Autorisation
ID : NIST SP 800-53 Rev. 5 CA-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1158 - Autorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1159 - Autorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Contrôle managé Microsoft 1160 - Autorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Surveillance continue
ID : NIST SP 800-53 Rev. 5 CA-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1161 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1162 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1163 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1164 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1165 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1166 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1167 - Surveillance continue | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Évaluation indépendante
ID : NIST SP 800-53 Rev. 5 CA-7 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1168 - Monitoring continu | Evaluation indépendante | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Analyses de tendances
ID : NIST SP 800-53 Rev. 5 CA-7 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1169 - Monitoring continu | Analyses de tendances | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Test de pénétration
ID : NIST SP 800-53 Rev. 5 CA-8 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1170 - Test de pénétration | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Équipe ou agent de test d’intrusion indépendant
ID : NIST SP 800-53 Rev. 5 CA-8 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1171 - Test de pénétration | Agent ou équipe de pénétration indépendant(e) | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Connexions internes du système
ID : NIST SP 800-53 Rev. 5 CA-9 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1172 - Connexions internes du système | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1173 - Connexions internes du système | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
Gestion de la configuration
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 CM-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1174 - Stratégie et procédures de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1175 - Stratégie et procédures de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Configuration de base
ID : NIST SP 800-53 Rev. 5 CM-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1176 - Configuration de base | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1177 - Configuration de base | Révisions et mises à jour | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1178 - Configuration de base | Révisions et mises à jour | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1179 - Configuration de base | Révisions et mises à jour | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Prise en charge de l’automatisation de l’exactitude et de la devise
ID : NIST SP 800-53 Rev. 5 CM-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1180 - Configuration de base | Prise en charge de l’automatisation pour la justesse ou l’actualisation | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Rétention des configurations précédentes
ID : NIST SP 800-53 Rev. 5 CM-2 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1181 - Configuration de base | Conservation des configurations précédentes | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Configuration des systèmes et des composants pour les zones à risque
ID : NIST SP 800-53 Rev. 5 CM-2 (7) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1182 - Configuration de base | Configurer des systèmes, composants ou appareils pour les zones à risque élevé | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1183 - Configuration de base | Configurer des systèmes, composants ou appareils pour les zones à risque élevé | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Contrôle de la modification de la configuration
ID : NIST SP 800-53 Rev. 5 CM-3 Propriété : partagée
Documentation, notification et interdiction des modifications automatisées
ID : NIST SP 800-53 Rev. 5 CM-3 (1) Propriété : partagée
Test, validation et documentation des modifications
ID : NIST SP 800-53 Rev. 5 CM-3 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1197 - Contrôle des modifications de la configuration | Tester/Valider/Documenter les modifications | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Représentants de la sécurité et de la confidentialité
ID : NIST SP 800-53 Rev. 5 CM-3 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1198 - Contrôle des modifications de la configuration | Représentant de la sécurité | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Gestion du chiffrement
ID : NIST SP 800-53 Rev. 5 CM-3 (6) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1199 - Contrôle des modifications de la configuration | Gestion du chiffrement | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Analyses d’impact
ID : NIST SP 800-53 Rev. 5 CM-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1200 - Analyse de l’impact sur la sécurité | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Environnements de test séparés
ID : NIST SP 800-53 Rev. 5 CM-4 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1201 - Analyse de l’impact sur la sécurité | Environnements de test séparés | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Restrictions d’accès pour les modifications
ID : NIST SP 800-53 Rev. 5 CM-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1202 - Restrictions d’accès pour les modifications | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Contrôle d’accès et enregistrements d’audit automatisés
ID : NIST SP 800-53 Rev. 5 CM-5 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1203 - Restrictions d’accès pour les modifications | Application/Audit d’accès automatique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Limitation des privilèges pour la production et l’exploitation
ID : NIST SP 800-53 Rev. 5 CM-5 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1206 - Restrictions d’accès pour les modifications | Limiter les privilèges de production/opérationnels | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1207 - Restrictions d’accès pour les modifications | Limiter les privilèges de production/opérationnels | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Paramètres de configuration
ID : NIST SP 800-53 Rev. 5 CM-6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Cette stratégie a été remplacée par une nouvelle stratégie portant le même nom, car HTTP 2.0 ne prend pas en charge les certificats clients. | Audit, Désactivé | 3.1.0-deprecated |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters | L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. | Audit, Désactivé | 1.0.2 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte | Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.2.0 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.1 |
| Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés | Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 7.1.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 10.1.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.1.0 |
| Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.5.0 |
| Microsoft Managed Control 1208 - Paramètres de configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1209 - Paramètres de configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1210 - Paramètres de configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1211 - Paramètres de configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. | AuditIfNotExists, Désactivé | 1.0.0 |
Gestion automatisée, application et vérification
ID : NIST SP 800-53 Rev. 5 CM-6 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1212 - Paramètres de configuration | Gestion/Application/Vérification centrale automatique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Répondre aux modifications non autorisées
ID : NIST SP 800-53 Rev. 5 CM-6 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1213 - Paramètres de configuration | Répondre aux modifications non autorisées | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Fonctionnalités essentielles
ID : NIST SP 800-53 Rev. 5 CM-7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Managed Control 1214 - Fonctionnalités essentielles | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1215 - Fonctionnalités essentielles | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Révision périodique
ID : NIST SP 800-53 Rev. 5 CM-7 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1216 - Fonctionnalités essentielles | Révision périodique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1217 - Fonctionnalités essentielles | Révision périodique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Blocage de l’exécution des programmes
ID : NIST SP 800-53 Rev. 5 CM-7 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1218 - Fonctionnalités essentielles | Empêcher l’exécution d’un programme | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Logiciels autorisés ??? Autorisation par exception
ID : NIST SP 800-53 Rev. 5 CM-7 (5) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1219 - Fonctionnalités essentielles | Logiciels autorisés/mise sur liste verte | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1220 - Fonctionnalités essentielles | Logiciels autorisés/Mise sur liste approuvée | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1221 - Fonctionnalités essentielles | Logiciels autorisés/Mise sur liste approuvée | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Inventaire des composants du système
ID : NIST SP 800-53 Rev. 5 CM-8 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1222 - Inventaire des composants du système informatique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1223 - Inventaire des composants du système informatique | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1229 - Inventaire des composants du système informatique | Pas de comptabilité dupliquée des composants | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Mises à jour lors des installations et des suppressions
ID : NIST SP 800-53 Rev. 5 CM-8 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1224 - Inventaire des composants du système informatique | Mises à jour durant les installations/suppressions | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Maintenance automatisée
ID : NIST SP 800-53 Rev. 5 CM-8 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1225 - Inventaire des composants du système informatique | Maintenance automatisée | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Détection automatique de composant non autorisé
ID : NIST SP 800-53 Rev. 5 CM-8 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1226 - Inventaire des composants du système informatique | Détection automatique de composant non autorisé | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1227 - Inventaire des composants du système informatique | Détection automatique de composant non autorisé | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1241 - Logiciels installés par l’utilisateur | Alertes pour les installations non autorisées | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Informations de responsabilité
ID : NIST SP 800-53 Rev. 5 CM-8 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1228 - Inventaire des composants du système informatique | Informations de responsabilité | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Plan de gestion de la configuration
ID : NIST SP 800-53 Rev. 5 CM-9 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1230 - Plan de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1231 - Plan de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1232 - Plan de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1233 - Plan de gestion de la configuration | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Restrictions d’utilisation de logiciels
ID : NIST SP 800-53 Rev. 5 CM-10 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1234 - Restrictions d’utilisation de logiciels | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1235 - Restrictions d’utilisation de logiciels | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1236 - Restrictions d’utilisation de logiciels | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Logiciels open source
ID : NIST SP 800-53 Rev. 5 CM-10 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1237 - Restrictions d’utilisation de logiciels | Logiciels open source | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Logiciels installés par l’utilisateur
ID : NIST SP 800-53 Rev. 5 CM-11 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1238 - Logiciels installés par le client | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1239 - Logiciels installés par le client | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
| Microsoft Managed Control 1240 - Logiciels installés par le client | Microsoft met en œuvre ce contrôle de gestion de la configuration | audit | 1.0.0 |
Planification d’urgence
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 CP-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1242 - Stratégie et procédures de planification d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1243 - Stratégie et procédures de planification d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Plan d’urgence
ID : NIST SP 800-53 Rev. 5 CP-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1244 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1245 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1246 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1247 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1248 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1249 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1250 - Plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Coordination avec les plans associés
ID : NIST SP 800-53 Rev. 5 CP-2 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1251 - Plan d’urgence | Coordination avec les plans associés | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Planification de la capacité
ID : NIST SP 800-53 Rev. 5 CP-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1252 - Plan d’urgence | Planification de la capacité | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Reprise des fonctions de mission et d’entreprise
ID : NIST SP 800-53 Rev. 5 CP-2 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1253 - Plan d’urgence | Reprise des missions/fonctions métier essentielles | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1254 - Plan d’urgence | Reprise de toutes les missions/fonctions métier des missions | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Poursuite des fonctions de mission et d’entreprise
ID : NIST SP 800-53 Rev. 5 CP-2 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1255 - Plan d’urgence | Poursuite des missions/fonctions métier essentielles | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Identification des ressources critiques
ID : NIST SP 800-53 Rev. 5 CP-2 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1256 - Plan d’urgence | Identification des ressources critiques | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Formation aux urgences
ID : NIST SP 800-53 Rev. 5 CP-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1257 - Formation aux urgences | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1258 - Formation aux urgences | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1259 - Formation aux urgences | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Événements simulés
ID : NIST SP 800-53 Rev. 5 CP-3 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1260 - Formation aux urgences | Événements simulés | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Test du plan d’urgence
ID : NIST SP 800-53 Rev. 5 CP-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1261 - Test du plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1262 - Test du plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1263 - Test du plan d’urgence | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Coordination avec les plans associés
ID : NIST SP 800-53 Rev. 5 CP-4 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1264 - Test du plan d’urgence | Coordination avec les plans associés | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Site de traitement secondaire
ID : NIST SP 800-53 Rev. 5 CP-4 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1265 - Test du plan d’urgence | Site de traitement secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1266 - Test du plan d’urgence | Site de traitement secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Site de stockage secondaire
ID : NIST SP 800-53 Rev. 5 CP-6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
| Microsoft Managed Control 1267 - Site de stockage secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1268 - Site de stockage secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Séparation avec le site principal
ID : NIST SP 800-53 Rev. 5 CP-6 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| Le stockage géoredondant doit être activé pour les comptes de stockage | Utiliser la géoredondance pour créer des applications hautement disponibles | Audit, Désactivé | 1.0.0 |
| La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL | Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. | AuditIfNotExists, Désactivé | 2.0.0 |
| Microsoft Managed Control 1269 - Site de stockage secondaire | Séparation du site principal | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Objectifs de temps de récupération et de point de récupération
ID : NIST SP 800-53 Rev. 5 CP-6 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1270 - Site de stockage secondaire | Objectifs de temps/point de récupération | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Accessibilité
ID : NIST SP 800-53 Rev. 5 CP-6 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1271 - Site de stockage secondaire | Accessibilité | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Site de traitement secondaire
ID : NIST SP 800-53 Rev. 5 CP-7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée | Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Microsoft Managed Control 1272 - Site de traitement secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1273 - Site de traitement secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1274 - Site de traitement secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Séparation avec le site principal
ID : NIST SP 800-53 Rev. 5 CP-7 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1275 - Site de traitement secondaire | Séparation du site principal | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Accessibilité
ID : NIST SP 800-53 Rev. 5 CP-7 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1276 - Site de traitement secondaire | Accessibilité | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Priorité de service
ID : NIST SP 800-53 Rev. 5 CP-7 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1277 - Site de traitement secondaire | Priorité de service | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Préparation à l’utilisation
ID : NIST SP 800-53 Rev. 5 CP-7 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1278 - Site de traitement secondaire | Préparation à l’utilisation | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Services de télécommunications
ID : NIST SP 800-53 Rev. 5 CP-8 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1279 - Services de télécommunications | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Clauses de priorité de service
ID : NIST SP 800-53 Rev. 5 CP-8 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1280 - Services de télécommunications | Clauses de priorité de service | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1281 - Services de télécommunications | Clauses de priorité de service | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Points de défaillance uniques
ID : NIST SP 800-53 Rev. 5 CP-8 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1282 - Services de télécommunications | Points de défaillance uniques | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Séparation des fournisseurs principaux et secondaires
ID : NIST SP 800-53 Rev. 5 CP-8 (3) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1283 - Services de télécommunications | Séparation des fournisseurs principaux/secondaires | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Plan d'urgence des fournisseurs
ID : NIST SP 800-53 Rev. 5 CP-8 (4) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1284 - Services de télécommunications | Plan d’urgence des fournisseurs | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1285 - Services de télécommunications | Plan d’urgence des fournisseurs | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1286 - Services de télécommunications | Plan d’urgence des fournisseurs | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Sauvegarde du système
ID : NIST SP 800-53 Rev. 5 CP-9 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La sauvegarde Azure doit être activée pour les machines virtuelles | Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, Désactivé | 1.0.1 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.0.0 |
| Microsoft Managed Control 1287 - Sauvegarde du système d’information | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1288 - Sauvegarde du système d’information | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1289 - Sauvegarde du système d’information | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
| Microsoft Managed Control 1290 - Sauvegarde du système d’information | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Test de la fiabilité et de l’intégrité
ID : NIST SP 800-53 Rev. 5 CP-9 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1291 - Sauvegarde du système d’information | Test de la fiabilité et de l’intégrité | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Test de restauration par l’échantillonnage
ID : NIST SP 800-53 Rev. 5 CP-9 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1292 - Sauvegarde du système d’information | Test de restauration par l’échantillonnage | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Stockage distinct pour les informations critiques
ID : NIST SP 800-53 Rev. 5 CP-9 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1293 - Sauvegarde du système d’information | Stockage distinct pour les informations critiques | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Transfert vers un site de stockage secondaire
ID : NIST SP 800-53 Rev. 5 CP-9 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1294 - Sauvegarde du système d’information | Transfert vers un site de stockage secondaire | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Récupération et reconstitution du système
ID : NIST SP 800-53 Rev. 5 CP-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1295 - Récupération et la reconstitution du système d’information | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Récupération des transactions
ID : NIST SP 800-53 Rev. 5 CP-10 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1296 - Récupération et reconstitution du système d’information | Récupération des transactions | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Récupération dans les délais
ID : NIST SP 800-53 Rev. 5 CP-10 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1297 - Récupération et reconstitution du système d’information | Récupération dans les délais | Microsoft met en œuvre ce contrôle de planification d’urgence | audit | 1.0.0 |
Identification et authentification
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 IA-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1298 - Stratégie et procédures d’identification et d’authentification | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1299 - Stratégie et procédures d’identification et d’authentification | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
Identification et authentification (utilisateurs de l’organisation)
ID : NIST SP 800-53 Rev. 5 IA-2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1300 – Identification et authentification des utilisateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Authentification multifacteur pour les comptes privilégiés
ID : NIST SP 800-53 Rev. 5 IA-2 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Managed Control 1301 – Identification et authentification des utilisateurs | Accès réseau aux comptes privilégiés | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1303 – Identification et authentification des utilisateurs | Accès local aux comptes privilégiés | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Authentification multifactorielle pour les comptes non-privilégiés
ID : NIST SP 800-53 Rev. 5 IA-2 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur | MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Managed Control 1302 – Identification et authentification des utilisateurs | Accès réseau aux comptes non privilégiés | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1304 – Identification et authentification des utilisateurs | Accès local aux comptes non privilégiés | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Authentification individuelle avec l’authentification de groupe
ID : NIST SP 800-53 Rev. 5 IA-2 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1305 – Identification et authentification des utilisateurs | Authentification de groupe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Accès aux comptes ??? Résistance à la relecture
ID : NIST SP 800-53 Rev. 5 IA-2 (8) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1306 – Identification et authentification des utilisateurs | Accès réseau aux comptes privilégiés – Relecture… | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1307 – Identification et authentification (utilisateurs de l’organisation) | Accès réseau aux comptes non privilégiés – Relecture… | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Acceptation d’informations d’identification de la vérification d’identité personnelle
ID : NIST SP 800-53 Rev. 5 IA-2 (12) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1309 – Identification et authentification des utilisateurs | Acceptation des informations d’identification PIV | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Identification et authentification des appareils
ID : NIST SP 800-53 Rev. 5 IA-3 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1310 - Identification et authentification des appareils | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Gestion des identificateurs
ID : NIST SP 800-53 Rev. 5 IA-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL | Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ressources Azure AI Services doivent avoir l’accès par clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à la clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1311 - Gestion des identificateurs | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1312 - Gestion des identificateurs | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1313 - Gestion des identificateurs | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1314 - Gestion des identificateurs | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1315 - Gestion des identificateurs | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client | Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
Identifier l’état utilisateur
ID : NIST SP 800-53 Rev. 5 IA-4 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1316 - Gestion des identificateurs | Identifier l’état utilisateur | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Gestion des authentificateurs
ID : NIST SP 800-53 Rev. 5 IA-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 1.4.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 1.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1317 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1318 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1319 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1320 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1321 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1322 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1323 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1324 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1325 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1326 - Gestion des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Authentification basée sur un mot de passe
ID : NIST SP 800-53 Rev. 5 IA-5 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur | Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | modify | 1.3.0 |
| Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 | AuditIfNotExists, Désactivé | 1.4.0 |
| Auditer les machines Windows qui autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les machines Windows autorisent la réutilisation des mots de passe après le nombre spécifié de mots de passe uniques. La valeur par défaut pour les mots de passe uniques est 24 | AuditIfNotExists, Désactivé | 1.1.0 |
| Auditer les machines Windows dont la durée de vie maximale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie maximale de leur mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut de la durée de vie maximale du mot de passe est de 70 jours | AuditIfNotExists, Désactivé | 1.1.0 |
| Auditer les machines Windows dont la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si la durée de vie minimale du mot de passe n’est pas définie sur le nombre de jours spécifié. La valeur par défaut pour la durée de vie minimale du mot de passe est de 1 jour | AuditIfNotExists, Désactivé | 1.1.0 |
| Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé | AuditIfNotExists, Désactivé | 1.0.0 |
| Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à un nombre de caractères spécifié. La valeur par défaut pour la longueur minimale du mot de passe est de 14 caractères | AuditIfNotExists, Désactivé | 1.1.0 |
| Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible | AuditIfNotExists, Désactivé | 1.0.0 |
| Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux | Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.4.0 |
| Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows | Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Microsoft Managed Control 1327 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1328 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1329 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1330 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1331 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1332 - Gestion des authentificateurs | Authentification basée sur mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1338 - Gestion des authentificateurs | Prise en charge automatisée du niveau de sécurité du mot de passe | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Authentification basée sur une clé publique
ID : NIST SP 800-53 Rev. 5 IA-5 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1333 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1334 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1335 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1336 -Gestion des authentificateurs | Authentification basée sur une infrastructure à clé publique | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Protection des authentificateurs
ID : NIST SP 800-53 Rev. 5 IA-5 (6) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1339 - Gestion des authentificateurs | Protection des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Aucun authentificateur statique non chiffré incorporé
ID : NIST SP 800-53 Rev. 5 IA-5 (7) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1340 - Gestion des authentificateurs | Aucun authentificateur statique non chiffré incorporé | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Comptes système multiples
ID : NIST SP 800-53 Rev. 5 IA-5 (8) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1341 - Gestion des authentificateurs | Plusieurs comptes de système d’information | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Expiration des authentificateurs mis en cache
ID : NIST SP 800-53 Rev. 5 IA-5 (13) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1343 - Gestion des authentificateurs | Expiration des authentificateurs mis en cache | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Commentaires sur l’authentification
ID : NIST SP 800-53 Rev. 5 IA-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1344 - Commentaires au sujet des authentificateurs | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Authentification du module de chiffrement
ID : NIST SP 800-53 Rev. 5 IA-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1345 - Authentification du module de chiffrement | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Identification et authentification (utilisateurs extérieurs à l’organisation)
ID : NIST SP 800-53 Rev. 5 IA-8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1346 - Identification et authentification (utilisateurs extérieurs à l’organisation) | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Acceptation d’informations d’identification de la vérification d’identité personnelle émanant d’autres agences
ID : NIST SP 800-53 Rev. 5 IA-8 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1347 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Acceptation des informations d’identification PIV… | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Acceptation des authentificateurs externes
ID : NIST SP 800-53 Rev. 5 IA-8 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1348 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Acceptation des tiers… | Microsoft met en œuvre ce contrôle d’identification et d’authentification | audit | 1.0.0 |
| Microsoft Managed Control 1349 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Utilisation des produits approuvés par Ficam | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Utilisation de profils définis
ID : NIST SP 800-53 Rev. 5 IA-8 (4) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1350 – Identification et authentification (utilisateurs extérieurs à l’organisation) | Utilisation des profils émis par FICAM | Microsoft met en œuvre c contrôle d’identification et d’authentification | audit | 1.0.0 |
Réponse aux incidents
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 IR-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1351 - Stratégie et procédures de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1352 - Stratégie et procédures de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Formation de réponse aux incidents
ID : NIST SP 800-53 Rev. 5 IR-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1353 - Formation de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1354 - Formation de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1355 - Formation de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Événements simulés
ID : NIST SP 800-53 Rev. 5 IR-2 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1356 - Formation de réponse aux incidents | Événements simulés | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Environnements de formation automatisée
ID : NIST SP 800-53 Rev. 5 IR-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1357 - Formation de réponse aux incidents | Environnements de formation automatisée | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Test de réponse aux incidents
ID : NIST SP 800-53 Rev. 5 IR-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1358 - Test de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Coordination avec les plans associés
ID : NIST SP 800-53 Rev. 5 IR-3 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1359 - Test de réponse aux incidents | Coordination avec les plans associés | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Gestion des incidents
ID : NIST SP 800-53 Rev. 5 IR-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1360 - Gestion des incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1361 - Gestion des incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1362 - Gestion des incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Processus de gestion des incidents automatisés
ID : NIST SP 800-53 Rev. 5 IR-4 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1363 - Gestion des incidents | Processus de gestion des incidents automatisés | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Reconfiguration dynamique
ID : NIST SP 800-53 Rev. 5 IR-4 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1364 - Gestion des incidents | Reconfiguration dynamique | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Continuité des opérations
ID : NIST SP 800-53 Rev. 5 IR-4 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1365 - Gestion des incidents | Continuité des opérations | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Corrélation des informations
ID : NIST SP 800-53 Rev. 5 IR-4 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1366 - Gestion des incidents | Corrélation des opérations | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Menaces internes
ID : NIST SP 800-53 Rev. 5 IR-4 (6) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1367 - Gestion des incidents | Menaces internes - Capacités spécifiques | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Corrélation avec des organisations externes
ID : NIST SP 800-53 Rev. 5 IR-4 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1368 - Gestion des incidents | Corrélation avec des organisations externes | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Surveillance des incidents
ID : NIST SP 800-53 Rev. 5 IR-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1369 - Surveillance des incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Suivi, collecte de données et analyse automatisés
ID : NIST SP 800-53 Rev. 5 IR-5 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1370 - Monitoring des incidents | Suivi/Collecte des données/Analyse automatisés | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Rapports d’incidents
ID : NIST SP 800-53 Rev. 5 IR-6 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1371 - Rapports d’incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1372 - Rapports d’incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Création de rapports automatisée
ID : NIST SP 800-53 Rev. 5 IR-6 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1373 - Rapports d’incidents | Création de rapports automatisée | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Vulnérabilités liées aux incidents
ID : NIST SP 800-53 Rev. 5 IR-6 (2) Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Assistance sur les réponses aux incidents
ID : NIST SP 800-53 Rev. 5 IR-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1374 - Assistance sur les réponses aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Prise en charge de l’automatisation pour la disponibilité des informations et du support
ID : NIST SP 800-53 Rev. 5 IR-7 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1375 - Assistance sur les réponses aux incidents | Prise en charge de l’automatisation pour la disponibilité des informations/Support | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Coordination avec les fournisseurs externes
ID : NIST SP 800-53 Rev. 5 IR-7 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1376 - Assistance de réponse aux incidents | Coordination avec les fournisseurs externes | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1377 - Assistance de réponse aux incidents | Coordination avec les fournisseurs externes | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Plan de réponse aux incidents
ID : NIST SP 800-53 Rev. 5 IR-8 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1378 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1379 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1380 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1381 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1382 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
| Microsoft Managed Control 1383 - Plan de réponse aux incidents | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Réponse aux débordements d’informations
ID : NIST SP 800-53 Rev. 5 IR-9 Propriété : partagée
Entrainement
ID : NIST SP 800-53 Rev. 5 IR-9 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1391 - Réponse aux débordements d’informations | Formation | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Opérations post-débordements
ID : NIST SP 800-53 Rev. 5 IR-9 (3) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1392 - Réponse aux débordements d’informations | Opérations post-débordements | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Exposition au personnel non autorisé
ID : NIST SP 800-53 Rev. 5 IR-9 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1393 - Réponse aux débordements d’informations | Exposition au personnel non autorisé | Microsoft met en œuvre ce contrôle de réponse aux incidents | audit | 1.0.0 |
Maintenance
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 MA-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1394 - Stratégie et procédures de maintenance du système | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1395 - Stratégie et procédures de maintenance du système | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Maintenance contrôlée
ID : NIST SP 800-53 Rev. 5 MA-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1396 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1397 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1398 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1399 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1400 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1401 - Maintenance contrôlée | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Activités de maintenance automatiques
ID : NIST SP 800-53 Rev. 5 MA-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1402 - Maintenance contrôlée | Activités de maintenance automatiques | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1403 - Maintenance contrôlée | Activités de maintenance automatiques | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Outils de maintenance
ID : NIST SP 800-53 Rev. 5 MA-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1404 - Outils de maintenance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Inspection des outils
ID : NIST SP 800-53 Rev. 5 MA-3 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1405 - Outils de maintenance | Inspection des outils | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Inspection des supports
ID : NIST SP 800-53 Rev. 5 MA-3 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1406 - Personnel en charge de la maintenance | Inspection des supports | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Empêcher le retrait non autorisé
ID : NIST SP 800-53 Rev. 5 MA-3 (3) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1407 - Outils de maintenance | Empêcher le retrait non autorisé | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1408 - Outils de maintenance | Empêcher le retrait non autorisé | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1409 - Outils de maintenance | Empêcher le retrait non autorisé | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1410 - Outils de maintenance | Empêcher le retrait non autorisé | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Maintenance non locale
ID : NIST SP 800-53 Rev. 5 MA-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1411 – Maintenance à distance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1412 – Maintenance à distance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1413 – Maintenance à distance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1414 – Maintenance à distance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1415 – Maintenance à distance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Sécurité et assainissement comparables
ID : NIST SP 800-53 Rev. 5 MA-4 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1417 – Maintenance à distance | Sécurité et assainissement comparables | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1418 – Maintenance à distance | Sécurité et assainissement comparables | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Protection par chiffrement
ID : NIST SP 800-53 Rev. 5 MA-4 (6) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1419 – Maintenance à distance | Protection par chiffrement | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Personnel en charge de la maintenance
ID : NIST SP 800-53 Rev. 5 MA-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1420 - Personnel en charge de la maintenance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1421 - Personnel en charge de la maintenance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1422 - Personnel en charge de la maintenance | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Individus sans accès approprié
ID : NIST SP 800-53 Rev. 5 MA-5 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1423 - Personnel en charge de la maintenance | Individus sans accès approprié | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
| Microsoft Managed Control 1424 - Personnel en charge de la maintenance | Individus sans accès approprié | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Maintenance adéquate
ID : NIST SP 800-53 Rev. 5 MA-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1425 - Maintenance adéquate | Microsoft met en œuvre implémente ce contrôle de maintenance | audit | 1.0.0 |
Protection média
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 MP-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1426 - Procédures et stratégie de protection des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1427 - Procédures et stratégie de protection des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Accès aux supports
ID : NIST SP 800-53 Rev. 5 MP-2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1428 - Accès aux supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Marquage de supports
ID : NIST SP 800-53 Rev. 5 MP-3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1429 – Étiquetage des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1430 – Étiquetage des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Supports de stockage
ID : NIST SP 800-53 Rev. 5 MP-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1431 - Stockage de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1432 - Stockage de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Transport de supports
ID : NIST SP 800-53 Rev. 5 MP-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1433 - Transport de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1434 - Transport de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1435 - Transport de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1436 - Transport de supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Assainissement des supports
ID : NIST SP 800-53 Rev. 5 MP-6 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1438 – Assainissement et cession des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1439 – Assainissement et cession des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Examen, approbation, suivi, documentation et vérification
ID : NIST SP 800-53 Rev. 5 MP-6 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1440 – Assainissement de supports | Examen, approbation, suivi, documentation et vérification | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Test de l’équipement
ID : NIST SP 800-53 Rev. 5 MP-6 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1441 – Assainissement et cession des supports | Test de l’équipement | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Méthodes non destructrices
ID : NIST SP 800-53 Rev. 5 MP-6 (3) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1442 – Assainissement et cession des supports | Techniques non destructrices | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Utilisation des supports
ID : NIST SP 800-53 Rev. 5 MP-7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1443 - Utilisation des supports | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1444 - Utilisation des supports | Interdire l’utilisation en absence de propriétaire | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
Protection physique et environnementale
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 PE-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1445 - Stratégie et procédures de protection physique et environnementale | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1446 - Stratégie et procédures de protection physique et environnementale | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Autorisations d’accès physique
ID : NIST SP 800-53 Rev. 5 PE-2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1447 - Autorisations d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1448 - Autorisations d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1449 - Autorisations d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1450 - Autorisations d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Contrôle d’accès physique
ID : NIST SP 800-53 Rev. 5 PE-3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1451 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1452 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1453 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1454 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1455 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Contrôle managé Microsoft 1456 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1457 - Contrôle d’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Accès système
ID : NIST SP 800-53 Rev. 5 PE-3 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1458 - Contrôle d’accès physique | Accès au système d’information | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Contrôle d’accès pour la transmission
ID : NIST SP 800-53 Rev. 5 PE-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1459 - Contrôle d’accès pour les moyens de transmission | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Contrôle d’accès aux périphériques de sortie
ID : NIST SP 800-53 Rev. 5 PE-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1460 - Contrôle d’accès aux périphériques de sortie | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Surveillance de l’accès physique
ID : NIST SP 800-53 Rev. 5 PE-6 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1461 - Surveillance de l’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Contrôle managé Microsoft 1462 - Surveillance de l’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Contrôle managé Microsoft 1463 - Surveillance de l’accès physique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Alarmes d’intrusion et équipement de surveillance
ID : NIST SP 800-53 Rev. 5 PE-6 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1464 - Monitoring de l’accès physique | Alarmes d’intrusion/Équipement de monitoring | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Monitoring de l’accès physique aux systèmes
ID : NIST SP 800-53 Rev. 5 PE-6 (4) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1465 - Monitoring de l’accès physique | Monitoring de l’accès physique aux systèmes d’informations | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Enregistrements des accès des visiteurs
ID : NIST SP 800-53 Rev. 5 PE-8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1466 - Enregistrements des accès des visiteurs | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1467 - Enregistrements des accès des visiteurs | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Maintenance et examen automatisés des enregistrements
ID : NIST SP 800-53 Rev. 5 PE-8 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1468 - Enregistrements des accès des visiteurs | Tenue à jour et analyse des enregistrements automatisés | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Équipement et câblage d’alimentation
ID : NIST SP 800-53 Rev. 5 PE-9 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1469 - Équipement et câblage d’alimentation | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Arrêt d’urgence
ID : NIST SP 800-53 Rev. 5 PE-10 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1470 - Arrêt d’urgence | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1471 - Arrêt d’urgence | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1472 - Arrêt d’urgence | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Alimentation de secours
ID : NIST SP 800-53 Rev. 5 PE-11 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1473 - Alimentation de secours | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Autre alimentation ??? Capacité opérationnelle minimale
ID : NIST SP 800-53 Rev. 5 PE-11 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1474 - Alimentation de secours | Alimentation secondaire à long terme - Capacité opérationnelle minimale | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Éclairage de secours
ID : NIST SP 800-53 Rev. 5 PE-12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1475 - Éclairage de secours | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Protection incendie
ID : NIST SP 800-53 Rev. 5 PE-13 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1476 - Protection incendie | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Systèmes de détection ??? Activation et notification automatiques
ID : NIST SP 800-53 Rev. 5 PE-13 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1477 - Protection incendie | Dispositifs/Systèmes de détection | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Systèmes de suppression ??? Activation et notification automatiques
ID : NIST SP 800-53 Rev. 5 PE-13 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1478 - Protection incendie | Dispositifs/Systèmes d’extinction | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1479 - Protection incendie | Extinction automatique | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Contrôles environnementaux
ID : NIST SP 800-53 Rev. 5 PE-14 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1480 - Contrôles de température et d’humidité | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1481 - Contrôles de température et d’humidité | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Monitoring grâce à des alarmes et à des notifications
ID : NIST SP 800-53 Rev. 5 PE-14 (2) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1482 - Contrôles de température et d’humidité | Monitoring à l’aide d’alarmes et de notifications | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Protection contre les dégâts des eaux
ID : NIST SP 800-53 Rev. 5 PE-15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1483 - Protection contre les dégâts des eaux | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Prise en charge de l’automation
ID : NIST SP 800-53 Rev. 5 PE-15 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1484 - Protection contre les dégâts des eaux | Prise en charge de l’automation | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Livraison et élimination
ID : NIST SP 800-53 Rev. 5 PE-16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1485 - Livraison et élimination | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Site de travail de secours
ID : NIST SP 800-53 Rev. 5 PE-17 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1486 - Site de travail de secours | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1487 - Site de travail de secours | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
| Microsoft Managed Control 1488 - Site de travail de secours | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Emplacement des composants du système
ID : NIST SP 800-53 Rev. 5 PE-18 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1489 - Emplacement des composants du système d’information | Microsoft met en œuvre ce contrôle de protection physique et environnementale | audit | 1.0.0 |
Planification
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 PL-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1490 - Stratégie et procédures de planification de la sécurité | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1491 - Stratégie et procédures de planification de la sécurité | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
Plans de sécurité du système et de la confidentialité
ID : NIST SP 800-53 Rev. 5 PL-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1492 - Plan de sécurité système | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1493 - Plan de sécurité système | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1494 - Plan de sécurité système | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1495 - Plan de sécurité système | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1496 - Plan de sécurité système | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1497 - Plan de sécurité système | Planifier/Coordonner avec d’autres entités organisationnelles | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
Règles de comportement
ID : NIST SP 800-53 Rev. 5 PL-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1498 - Règles de comportement | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Contrôle managé Microsoft 1499 - Règles de comportement | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Contrôle managé Microsoft 1500 - Règles de comportement | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Contrôle managé Microsoft 1501 - Règles de comportement | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
Restrictions d’utilisation des réseaux sociaux et des sites/applications externes
ID : NIST SP 800-53 Rev. 5 PL-4 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1502 - Règles de comportement | Restrictions liées aux réseaux sociaux et aux services de réseau | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
Architectures de la sécurité et de la confidentialité
ID : NIST SP 800-53 Rev. 5 PL-8 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1503 - Architecture de sécurité des informations | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1504 - Architecture de sécurité des informations | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
| Microsoft Managed Control 1505 - Architecture de sécurité des informations | Microsoft met en œuvre ce contrôle de planification | audit | 1.0.0 |
Sécurité du personnel
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 PS-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1506 - Stratégie et procédures de sécurité du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1507 - Stratégie et procédures de sécurité du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Désignation des risques de postes
ID : NIST SP 800-53 Rev. 5 PS-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1508 – Catégorisation des positions | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1509 – Catégorisation des positions | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1510 – Catégorisation des positions | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Sélection du personnel
ID : NIST SP 800-53 Rev. 5 PS-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1511 - Sélection du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1512 - Sélection du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Information impliquant des mesures de protection spéciales
ID : NIST SP 800-53 Rev. 5 PS-3 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1513 - Sélection du personnel | Informations avec mesures de protection spéciales | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1514 - Sélection du personnel | Informations avec mesures de protection spéciales | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Licenciement du personnel
ID : NIST SP 800-53 Rev. 5 PS-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1515 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1516 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1517 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1518 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1519 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1520 - Licenciement du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Actions automatisées
ID : NIST SP 800-53 Rev. 5 PS-4 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1521 - Licenciement du personnel | Notification automatisée | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Transfert du personnel
ID : NIST SP 800-53 Rev. 5 PS-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1522 - Transfert du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1523 - Transfert du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1524 - Transfert du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1525 - Transfert du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Accords d’accès
ID : NIST SP 800-53 Rev. 5 PS-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1526 - Accords d’accès | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1527 - Accords d’accès | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1528 - Accords d’accès | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Sécurité du personnel externe
ID : NIST SP 800-53 Rev. 5 PS-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1529 - Sécurité du personnel tiers | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1530 - Sécurité du personnel tiers | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1531 - Sécurité du personnel tiers | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1532 - Sécurité du personnel tiers | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1533 - Sécurité du personnel tiers | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Sanctions du personnel
ID : NIST SP 800-53 Rev. 5 PS-8 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1534 - Sanctions du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
| Microsoft Managed Control 1535 - Sanctions du personnel | Microsoft met en œuvre ce contrôle de sécurité du personnel | audit | 1.0.0 |
Évaluation des risques
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 RA-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1536 - Stratégie et procédures d’évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1537 - Stratégie et procédures d’évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Catégorisation de sécurité
ID : NIST SP 800-53 Rev. 5 RA-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1538 - Catégorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Contrôle managé Microsoft 1539 - Catégorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Contrôle managé Microsoft 1540 - Catégorisation de sécurité | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Évaluation des risques
ID : NIST SP 800-53 Rev. 5 RA-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1541 - Évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1542 - Évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Contrôle géré Microsoft 1543 - Évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1544 - Évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1545 - Évaluation des risques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Supervision et analyse des vulnérabilités
ID : NIST SP 800-53 Rev. 5 RA-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1546 - Analyse des vulnérabilités | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1547- Analyse des vulnérabilités | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1548 - Analyse des vulnérabilités | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1549 - Analyse des vulnérabilités | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1550 - Analyse des vulnérabilités | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Microsoft Managed Control 1551 - Analyse des vulnérabilités | Fonctionnalité de l’outil de mise à jour | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
| L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance | Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditer les serveurs Azure SQL pour lesquels l’évaluation des vulnérabilités n’est pas correctement configurée. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’évaluation des vulnérabilités doit être activée sur vos espaces de travail Synapse | Découvrez, suivez et corrigez les vulnérabilités potentielles en configurant des analyses récurrentes d’évaluation des vulnérabilités SQL sur vos espaces de travail Synapse. | AuditIfNotExists, Désactivé | 1.0.0 |
Mise à jour des vulnérabilités à analyser
ID : NIST SP 800-53 Rev. 5 RA-5 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1552 - Analyse des vulnérabilités | Mise à jour en fonction de la fréquence/avant une nouvelle analyse/au moment de l’identification | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Largeur et profondeur de la couverture
ID : NIST SP 800-53 Rev. 5 RA-5 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1553 - Analyse des vulnérabilités | Étendue/Profondeur de couverture | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Informations pouvant être découvertes
ID : NIST SP 800-53 Rev. 5 RA-5 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1554 - Analyse des vulnérabilités | Informations pouvant être découvertes | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Accès privilégié
ID : NIST SP 800-53 Rev. 5 RA-5 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1555 - Analyse des vulnérabilités | Accès privilégié | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Analyses des tendances automatisées
ID : NIST SP 800-53 Rev. 5 RA-5 (6) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1556 - Analyse des vulnérabilités | Analyses des tendances automatisées | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Examen des journaux d’activité d’audit historiques
ID : NIST SP 800-53 Rev. 5 RA-5 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1557 - Analyse des vulnérabilités | Examen des journaux d’activité d’audit historiques | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Corrélation des informations d’analyse
ID : NIST SP 800-53 Rev. 5 RA-5 (10) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1558 - Analyse des vulnérabilités | Corrélation des informations d’analyse | Microsoft met en œuvre ce contrôle d’évaluation des risques | audit | 1.0.0 |
Acquisition du système et des services
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 SA-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1559 - Stratégie et procédures d’acquisition du système et des services | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1560 - Stratégie et procédures d’acquisition du système et des services | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Allocation de ressources
ID : NIST SP 800-53 Rev. 5 SA-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1561 - Allocation de ressources | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle géré Microsoft 1562 -Allocation de ressources | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle géré Microsoft 1563 - Allocation de ressources | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Cycle de vie de développement de système
ID : NIST SP 800-53 Rev. 5 SA-3 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle géré Microsoft 1564 - Cycle de vie de développement de système | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle géré Microsoft 1565 - Cycle de vie de développement de système | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle géré Microsoft 1566 - Cycle de vie de développement de système | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle géré Microsoft 1567 - Cycle de vie de développement de système | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Processus d’acquisition
ID : NIST SP 800-53 Rev. 5 SA-4 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1568 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1569 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1570 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1571 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1572 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1573 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1574 – Processus d’acquisitions | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Propriétés fonctionnelles des contrôles
ID : NIST SP 800-53 Rev. 5 SA-4 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1575 – Processus d’acquisitions | Propriétés fonctionnelles des contrôles de sécurité | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Informations sur la conception et la mise en œuvre des contrôles
ID : NIST SP 800-53 Rev. 5 SA-4 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1576 – Processus d’acquisitions | Informations sur la conception et la mise en œuvre des contrôles de sécurité | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Plan de monitoring continu des contrôles
ID : NIST SP 800-53 Rev. 5 SA-4 (8) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1577 – Processus d’acquisitions | Plan de monitoring continu | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Fonctions, ports, protocoles et services utilisés
ID : NIST SP 800-53 Rev. 5 SA-4 (9) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1578 – Processus d’acquisitions | Fonctions, ports, protocoles et services utilisés | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Utilisation des produits de vérification d’identité personnelle approuvés
ID : NIST SP 800-53 Rev. 5 SA-4 (10) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1579 – Processus d’acquisitions | Utilisation des produits PIV approuvés | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Documentation sur les systèmes
ID : NIST SP 800-53 Rev. 5 SA-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1580 - Documentation du système d’information | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle managé Microsoft 1581 - Documentation du système d’information | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle managé Microsoft 1582 - Documentation du système d’information | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle managé Microsoft 1583 - Documentation du système d’information | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Contrôle managé Microsoft 1584 - Documentation du système d’information | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Principes d’ingénierie de la sécurité et de la confidentialité
ID : NIST SP 800-53 Rev. 5 SA-8 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1585 - Principes d’ingénierie de sécurité | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Services du système externe
ID : NIST SP 800-53 Rev. 5 SA-9 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1586 - Services de système d’information externes | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1587 - Services de système d’information externes | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1588 - Services de système d’information externes | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Évaluation des risques et approbations organisationnelles
ID : NIST SP 800-53 Rev. 5 SA-9 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1589 - Services de système d’information externes | Évaluation des risques/approbations organisationnelles | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1590 - Services de système d’information externes | Évaluation des risques/approbations organisationnelles | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Identification des fonctions, ports, protocoles et services
ID : NIST SP 800-53 Rev. 5 SA-9 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1591 – Services de système d’information externes | Identification des fonctions, ports, protocoles… | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Intérêts cohérents des consommateurs et des fournisseurs
ID : NIST SP 800-53 Rev. 5 SA-9 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1592 - External Services de système d’information externes | Intérêts cohérents des consommateurs et des fournisseurs | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Traitement, Stockage et Emplacement du service
ID : NIST SP 800-53 Rev. 5 SA-9 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1593 - Services de système d’information externes | Traitement, stockage et emplacement du service | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Gestion de configuration par le développeur
ID : NIST SP 800-53 Rev. 5 SA-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1594 - Gestion de configuration par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1595 - Gestion de configuration par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1596 - Gestion de configuration par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1597 - Plan de gestion de la configuration | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1598 - Gestion de configuration par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Vérification de l’intégrité des logiciels et des microprogrammes
ID : NIST SP 800-53 Rev. 5 SA-10 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1599 - Gestion de la configuration par le développeur | Vérification de l’intégrité des logiciels/microprogrammes | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Test et évaluation des développeurs
ID : NIST SP 800-53 Rev. 5 SA-11 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1600 - Test et évaluation de la sécurité par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1601 - Test et évaluation de la sécurité par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1602 - Test et évaluation de la sécurité par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1603 - Test et évaluation de la sécurité par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1604 - Test et évaluation de la sécurité par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Analyse statique du code
ID : NIST SP 800-53 Rev. 5 SA-11 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1605 - Test et évaluation de la sécurité par le développeur | Analyse statique du code | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Modélisation des menaces et analyses des vulnérabilités
ID : NIST SP 800-53 Rev. 5 SA-11 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1606 - Test et évaluation de la sécurité par le développeur | Analyses des menaces et de la vulnérabilité | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Analyse dynamique du code
ID : NIST SP 800-53 Rev. 5 SA-11 (8) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1607 - Test et évaluation de la sécurité par le développeur | Analyse dynamique du code | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Outils, normes et processus de développement
ID : NIST SP 800-53 Rev. 5 SA-15 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1609 - Outils, normes et processus de développement | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1610 - Outils, normes et processus de développement | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Formation fournie par le développeur
ID : NIST SP 800-53 Rev. 5 SA-16 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1611 - Formation fournie par le développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Architecture et conception de la sécurité et de la confidentialité des développeurs
ID : NIST SP 800-53 Rev. 5 SA-17 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1612 - Conception et architecture de sécurité du développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1613 - Conception et architecture de sécurité du développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
| Microsoft Managed Control 1614 - Conception et architecture de sécurité du développeur | Microsoft met en œuvre ce contrôle d’acquisition du système et des services | audit | 1.0.0 |
Protection du système et des communications
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 SC-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1615 - Stratégie et procédures de protection du système et des communications | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Microsoft Managed Control 1616 - Stratégie et procédures de protection du système et des communications | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Séparation des fonctionnalités système et utilisateur
ID : NIST SP 800-53 Rev. 5 SC-2 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1617 - Partitionnement d’application | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Isolation des fonctions de sécurité
ID : NIST SP 800-53 Rev. 5 SC-3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Managed Control 1618 - Isolation des fonctions de sécurité | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 1.1.1 |
Informations présentes dans les ressources système partagées
ID : NIST SP 800-53 Rev. 5 SC-4 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1619 - Informations dans les ressources partagées | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Protection contre le déni de service
ID : NIST SP 800-53 Rev. 5 SC-5 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure DDoS Protection doit être activé | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1620 - Protection contre le déni de service | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Disponibilité des ressources
ID : NIST SP 800-53 Rev. 5 SC-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1621 - Disponibilité des ressources | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Protection de la limite
ID : NIST SP 800-53 Rev. 5 SC-7 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
| [Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 1.4.1 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1622 - Protection de la limite | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Microsoft Managed Control 1623 - Protection de la limite | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Microsoft Managed Control 1624 - Protection de la limite | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Points d’accès
ID : NIST SP 800-53 Rev. 5 SC-7 (3) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Déconseillé] : Les services Recherche cognitive Azure doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Désactivé | 1.0.1-deprecated |
| [Déconseillé] : Cognitive Services doit utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Désactivé | 3.0.1-deprecated |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, Désactivé | 2.0.0 |
| Les ressources Azure AI Services doivent limiter l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service Azure AI. | Audit, Refuser, Désactivé | 3.2.0 |
| Azure Cache pour Redis doit utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées | Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les services Recherche cognitive Azure doivent désactiver l’accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Data Factory doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les domaines Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Les rubriques Azure Event Grid doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, Désactivé | 1.0.2 |
| Azure File Sync doit utiliser une liaison privée | La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le pare-feu doit être activé pour Azure Key Vault | Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Refuser, Désactivé | 1.4.1 |
| Les espaces de travail Azure Machine Learning doivent utiliser un lien privé | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de travail Azure Machine Learning, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Désactivé | 1.0.0 |
| Les espaces de noms Azure Service Bus doivent utiliser la liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure SignalR Service doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, Désactivé | 1.0.0 |
| Les espaces de travail Azure Synapse doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’espace de travail Azure Synapse, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Désactivé | 1.0.1 |
| Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, Désactivé | 1.0.1 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Désactivé | 1.0.0 |
| Les ressources d’accès au disque doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les espaces de noms Event Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. | Audit, Désactivé | 1.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft Managed Control 1625 - Protection de la limite | Points d’accès | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées | Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. | Audit, Désactivé | 1.1.0 |
| L’accès au réseau public sur Azure SQL Database doit être désactivé | Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
Services de télécommunications externes
ID : NIST SP 800-53 Rev. 5 SC-7 (4) Propriété : partagée
Refus par défaut ??? Autorisation par exception
ID : NIST SP 800-53 Rev. 5 SC-7 (5) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1155 - Interconnexions de systèmes | Restrictions sur les connexions de systèmes externes | Microsoft met en œuvre ce contrôle d’évaluation et d’autorisation de la sécurité | audit | 1.0.0 |
| Microsoft Managed Control 1631 - Protection de la limite | Refuser par défaut/autoriser par exception | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Tunneling fractionné pour les appareils distants
ID : NIST SP 800-53 Rev. 5 SC-7 (7) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1632 - Protection de la limite | Empêcher le tunneling fractionné pour les appareils distants | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Acheminer le trafic aux serveurs proxy authentifiés
ID : NIST SP 800-53 Rev. 5 SC-7 (8) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1633 - Protection de la limite | Router le trafic vers les serveurs proxy authentifiés | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Mesures visant à empêcher l’exfiltration
ID : NIST SP 800-53 Rev. 5 SC-7 (10) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1634 - Protection de la limite | Empêcher l’exfiltration non autorisée | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Protection basée sur l’hôte
ID : NIST SP 800-53 Rev. 5 SC-7 (12) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1635 - Protection de la limite | Protection basée sur hôte | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Isolement des outils de sécurité, des mécanismes et des composants de support
ID : NIST SP 800-53 Rev. 5 SC-7 (13) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1636 - Protection de la limite | Isolation des outils de sécurité/mécanismes/composants de support | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Échec en toute sécurité
ID : NIST SP 800-53 Rev. 5 SC-7 (18) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1637 - Protection de la limite | Échec sécurisé | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Isolement et séparation dynamiques
ID : NIST SP 800-53 Rev. 5 SC-7 (20) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1638 - Protection de la limite | Isolation/Ségrégation dynamique | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Isolement des composants du système
ID : NIST SP 800-53 Rev. 5 SC-7 (21) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1639 - Protection de la limite | Isolation des composants du système informatique | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Confidentialité et intégrité des transmissions
ID : NIST SP 800-53 Rev. 5 SC-8 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. | Audit, Refuser, Désactivé | 1.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Microsoft Managed Control 1640 - Confidentialité et intégrité des transmissions | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 3.0.1 |
Protection par chiffrement
ID : NIST SP 800-53 Rev. 5 SC-8 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight | Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. | Audit, Refuser, Désactivé | 1.0.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, Désactivé | 1.0.1 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.0.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | audit, Audit, refus, Refus, désactivé, Désactivé | 9.1.0 |
| Microsoft Managed Control 1641 - Confidentialité et intégrité des transmissions | Protection par chiffrement ou protection physique différente | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées | Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Les machines Windows doivent être configurées de façon à utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 3.0.1 |
Déconnexion réseau
ID : NIST SP 800-53 Rev. 5 SC-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle géré Microsoft 1642 - Déconnexion réseau | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Établissement et gestion de clés de chiffrement
ID : NIST SP 800-53 Rev. 5 SC-12 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. | Audit, Refuser, Désactivé | 1.0.0-preview |
| [Préversion] : Les données du service d’approvisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les ressources Azure AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit, Refuser, Désactivé | 2.2.0 |
| Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. | Audit, Refuser, Désactivé | 1.0.0 |
| Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. | Audit, Refuser, Désactivé | 1.0.1 |
| Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement | Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé, Refus | 1.0.0 |
| Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil | Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. | Audit, Refuser, Désactivé | 1.0.0 |
| Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client | Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. | Audit, Refuser, Désactivé | 1.0.0 |
| Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. | Audit, Refuser, Désactivé | 1.0.1 |
| Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos | Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client | Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.1.0 |
| Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client | Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données | Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les espaces de travail Azure Synapse doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour contrôler le chiffrement au repos des données stockées dans des espaces de travail Azure synapse. Les clés gérées par le client fournissent un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut avec les clés gérées par le service. | Audit, Refuser, Désactivé | 1.0.0 |
| Bot Service doit être chiffré avec une clé gérée par le client | Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client | Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement | Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. | Audit, Désactivé | 1.0.0 |
| L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client | Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client | Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. | Audit, Refuser, Désactivé | 1.0.0 |
| Microsoft Managed Control 1643 - Établissement et gestion de clés de chiffrement | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. | Audit, Refuser, Désactivé | 3.0.0 |
| Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux | Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement | Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. | Audit, Désactivé | 1.0.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, Désactivé | 1.0.3 |
Disponibilité
ID : NIST SP 800-53 Rev. 5 SC-12 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1644 - Établissement et gestion de clés de chiffrement | Disponibilité | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Clés symétriques
ID : NIST SP 800-53 Rev. 5 SC-12 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1645 - Établissement et gestion de clés de chiffrement | Clés symétriques | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Clés asymétriques
ID : NIST SP 800-53 Rev. 5 SC-12 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1646 - Établissement et gestion de clés de chiffrement | Clés asymétriques | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Protection par chiffrement
ID : NIST SP 800-53 Rev. 5 SC-13 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1647 – Utilisation du chiffrement | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Applications et appareils informatiques collaboratifs
ID : NIST SP 800-53 Rev. 5 SC-15 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1648 - Appareils informatiques collaboratifs | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Contrôle géré Microsoft 1649 - Appareils informatiques collaboratifs | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Certificats d’infrastructure de clé publique
ID : NIST SP 800-53 Rev. 5 SC-17 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1650 - Certificats d’infrastructure de clé publique | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Code mobile
ID : NIST SP 800-53 Rev. 5 SC-18 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle géré Microsoft 1651 - Code mobile | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Contrôle géré Microsoft 1652 - Code mobile | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Contrôle géré Microsoft 1653 - Code mobile | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Service sécurisé de résolution de nom et d’adresse (source faisant autorité)
ID : NIST SP 800-53 Rev. 5 SC-20 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1656 - Service sécurisé de résolution de nom / d’adresse (source faisant autorité) | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| Microsoft Managed Control 1657 - Service sécurisé de résolution de nom / d’adresse (source faisant autorité) | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Service sécurisé de résolution de nom et d’adresse (outil de résolution récursif ou de mise en cache)
ID : NIST SP 800-53 Rev. 5 SC-21 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1658 - Service sécurisé de résolution de nom / d’adresse (outil de résolution récursif ou de mise en cache) | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Architecture et approvisionnement du service de résolution de nom et d’adresse
ID : NIST SP 800-53 Rev. 5 SC-22 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1659 - Architecture et provisionnement du service de résolution de nom/d’adresse | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Authenticité de session
ID : NIST SP 800-53 Rev. 5 SC-23 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1660 - Authenticité de session | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Invalider les identificateurs de session lors de la déconnexion
ID : NIST SP 800-53 Rev. 5 SC-23 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1661 - Authenticité de session | Invalider les identificateurs de session lors de la déconnexion | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Échec en état connu
ID : NIST SP 800-53 Rev. 5 SC-24 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle managé Microsoft 1662 - Échec en état connu | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Protection des informations au repos
ID : NIST SP 800-53 Rev. 5 SC-28 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les appareils Azure Stack Edge doivent utiliser le chiffrement double | Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
| Le chiffrement double doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 2.0.0 |
| Microsoft Managed Control 1663 - Protection des informations au repos | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Protection par chiffrement
ID : NIST SP 800-53 Rev. 5 SC-28 (1) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| App Service Environment doit avoir le chiffrement interne activé | Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil | Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. | Audit, Refuser, Désactivé | 1.0.0 |
| Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) | Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Les appareils Azure Stack Edge doivent utiliser le chiffrement double | Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Le chiffrement de disque doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. | Audit, Refuser, Désactivé | 2.0.0 |
| Le chiffrement double doit être activé dans Azure Data Explorer | Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. | Audit, Refuser, Désactivé | 2.0.0 |
| Microsoft Managed Control 1437 - Transport de supports | Protection par chiffrement | Microsoft met en œuvre ce contrôle de protection média | audit | 1.0.0 |
| Microsoft Managed Control 1664 - Protection des informations au repos | Protection par chiffrement | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
| La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric | Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé | Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. | Audit, Refuser, Désactivé | 1.0.0 |
| Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte | Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. | Audit, Refuser, Désactivé | 1.0.1 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
Isolation des processus
ID : NIST SP 800-53 Rev. 5 SC-39 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Contrôle géré Microsoft 1665 - Isolation des processus | Microsoft met en œuvre ce contrôle de protection du système et des communications | audit | 1.0.0 |
Intégrité du système et des informations
Stratégie et procédures
ID : NIST SP 800-53 Rev. 5 SI-1 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1666 - Stratégie et procédures relatives à l’intégrité du système et des informations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1667 - Stratégie et procédures relatives à l’intégrité du système et des informations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Correction des défauts
ID : NIST SP 800-53 Rev. 5 SI-2 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Contrôle managé Microsoft 1668 - Correction des défauts | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1669 - Correction des défauts | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1670 - Correction des défauts | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1671 - Correction des défauts | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées | Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation | AuditIfNotExists, Désactivé | 3.1.0 |
État de la correction automatisée des défauts
ID : NIST SP 800-53 Rev. 5 SI-2 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1673 - Correction des défauts | État de la correction automatisée des défauts | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Durée de correction des failles et des points de référence des actions correctives
ID : NIST SP 800-53 Rev. 5 SI-2 (3) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1674 - Correction des défauts | Délai de correction des défauts/Évaluation des actions correctives | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1675 - Correction des défauts | Délai de correction des défauts/Évaluation des actions correctives | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Suppression des versions précédentes des logiciels et microprogrammes
ID : NIST SP 800-53 Rev. 5 SI-2 (6) Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, Désactivé | 1.0.2 |
Protection contre les codes malveillants
ID : NIST SP 800-53 Rev. 5 SI-3 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Managed Control 1676 - Protection contre les codes malveillants | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1677 - Protection contre les codes malveillants | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1678 - Protection contre les codes malveillants | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1679 - Protection contre les codes malveillants | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1681 - Protection contre les codes malveillants | Mises à jour automatiques | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1682 - Protection contre les codes malveillants | Détection de codes non basée sur la signature | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 1.1.1 |
Supervision du système
ID : NIST SP 800-53 Rev. 5 SI-4 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes avec Azure Arc | L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 4.0.1-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows | Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| Azure Defender pour les serveurs Azure SQL Database doit être activé | Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées | Auditez chaque instance managée SQL sans Advanced Data Security. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.2 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage (classique) doit être activé | Microsoft Defender pour le stockage (classique) permet de détecter les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. | AuditIfNotExists, Désactivé | 1.0.4 |
| Microsoft Managed Control 1683 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1684 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1685 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1686 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1687 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1688 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Contrôle managé Microsoft 1689 - Surveillance du système d’information | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Système de détection des intrusions à l’échelle du réseau
ID : NIST SP 800-53 Rev. 5 SI-4 (1) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1690 - Monitoring du système d’information | Système de détection des intrusions à l’échelle du réseau | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Outils et mécanismes automatisés pour l’analyse en temps réel
ID : NIST SP 800-53 Rev. 5 SI-4 (2) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1691 - Monitoring du système d’information | Outils automatisés pour l’analyse en temps réel | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Trafic des communications entrantes et sortantes
ID : NIST SP 800-53 Rev. 5 SI-4 (4) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1692 - Monitoring du système d’information | Trafic des communications entrantes et sortantes | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Alertes générées par le système
ID : NIST SP 800-53 Rev. 5 SI-4 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1693 - Monitoring du système d’information | Alertes générées par le système | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Analyse du trafic des communications
ID : NIST SP 800-53 Rev. 5 SI-4 (11) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1694 - Monitoring du système d’information | Analyse du trafic des communications | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Alertes générées par l’organisation automatisée
ID : NIST SP 800-53 Rev. 5 SI-4 (12) Propriété : Customer
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
Détection sans fil des intrusions
ID : NIST SP 800-53 Rev. 5 SI-4 (14) Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1695 - Monitoring du système d’information | Détection sans fil des intrusions | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Mettre en corrélation les informations de surveillance
ID : NIST SP 800-53 Rev. 5 SI-4 (16) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1696 - Monitoring du système d’informations | Mettre en corrélation les informations de monitoring | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Analyse du trafic et des exfiltrations cachées
ID : NIST SP 800-53 Rev. 5 SI-4 (18) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1697 - Monitoring du système d’information | Analyser le trafic/l’exfiltration secrète | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Risque pour les particuliers
ID : NIST SP 800-53 Rev. 5 SI-4 (19) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1698 - Monitoring du système d’information | Personnes présentant un risque accru | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Utilisateurs privilégiés
ID : NIST SP 800-53 Rev. 5 SI-4 (20) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1699 - Monitoring du système d’information | Utilisateurs privilégiés | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Services réseau non autorisés
ID : NIST SP 800-53 Rev. 5 SI-4 (22) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1700 - Monitoring du système d’information | Services réseau non autorisés | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Appareils basés sur l’hôte
ID : NIST SP 800-53 Rev. 5 SI-4 (23) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1701 - Monitoring du système d’information | Appareils basés sur l’hôte | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Indicateurs de compromission
ID : NIST SP 800-53 Rev. 5 SI-4 (24) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1702 - Monitoring du système d’information | Indicateurs de compromission | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Alertes de sécurité, conseils et directives
ID : NIST SP 800-53 Rev. 5 SI-5 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1703 - Security Alerts & Advisories | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1704 - Security Alerts & Advisories | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1705 - Security Alerts & Advisories | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1706 - Security Alerts & Advisories | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Alertes et conseils automatisés
ID : NIST SP 800-53 Rev. 5 SI-5 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1707 - Security Alerts & Advisories | Automated Alerts And Advisories | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Vérification de la fonction de sécurité et de confidentialité
ID : NIST SP 800-53 Rev. 5 SI-6 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1708 – Vérification des fonctionnalités de sécurité | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1709 – Vérification des fonctionnalités de sécurité | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1710 – Vérification des fonctionnalités de sécurité | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1711 – Vérification des fonctionnalités de sécurité | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Intégrité des informations, des microprogrammes et des logiciels
ID : NIST SP 800-53 Rev. 5 SI-7 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1712 - Software & Information Integrity | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Vérifications de l’intégrité
ID : NIST SP 800-53 Rev. 5 SI-7 (1) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1713 - Software & Information Integrity | Integrity Checks | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Notification automatiques des violations de l’intégrité
ID : NIST SP 800-53 Rev. 5 SI-7 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1714 - Software & Information Integrity | Automated Notifications Of Integrity Violations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Réponse automatique en cas de violation de l’intégrité
ID : NIST SP 800-53 Rev. 5 SI-7 (5) Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1715 - Software & Information Integrity | Automated Response To Integrity Violations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Intégration de la détection et des réponses
ID : NIST SP 800-53 Rev. 5 SI-7 (7) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1716 - Software & Information Integrity | Integration Of Detection And Response | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Protection contre les courriers indésirables
ID : NIST SP 800-53 Rev. 5 SI-8 Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1719 - Protection contre les courriers indésirables | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1720 - Protection contre les courriers indésirables | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Mises à jour automatiques
ID : NIST SP 800-53 Rev. 5 SI-8 (2) Propriété : Microsoft
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1722 - Protection contre les courriers indésirables | Mises à jour automatiques | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Validation des entrées d’informations
ID : NIST SP 800-53 Rev. 5 SI-10 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1723 - Validation des entrées d’informations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Gestion des erreurs
ID : NIST SP 800-53 Rev. 5 SI-11 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1724 - Gestion des erreurs | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Microsoft Managed Control 1725 - Gestion des erreurs | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Gestion des informations et rétention
ID : NIST SP 800-53 Rev. 5 SI-12 Propriété : partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Microsoft Managed Control 1726 – Gestion et rétention de la sortie des informations | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
Protection de la mémoire
ID : NIST SP 800-53 Rev. 5 SI-16 Propriété : Partagée
| Nom (Portail Azure) |
Description | Effet(s) | Version (GitHub) |
|---|---|---|---|
| Azure Defender pour les serveurs doit être activé | Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Managed Control 1727 - Protection de la mémoire | Microsoft met en œuvre ce contrôle d’intégrité du système et des informations | audit | 1.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 1.1.1 |
Étapes suivantes
Autres articles sur Azure Policy :
- Présentation de la Conformité réglementaire.
- Voir la structure de la définition d’initiative.
- Passez en revue d’autres exemples de la page Exemples Azure Policy.
- Consultez la page Compréhension des effets de Policy.
- Découvrez comment corriger des ressources non conformes.