Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page est un index de Azure Policy définitions de stratégie intégrées liées à Microsoft Defender for Cloud. Les regroupements suivants de définitions de stratégie sont disponibles :
- Le groupe initiatives répertorie les définitions d’initiative de Azure Policy dans la catégorie « Defender for Cloud ».
- L'initiative default répertorie toutes les définitions Azure Policy qui font partie de l'initiative par défaut de Defender for Cloud, Microsoft benchmark de sécurité cloud. Ce benchmark Microsoft largement respecté repose sur les contrôles du Center for Internet Security (CIS) et du National Institute of Standards and Technology (NIST) avec un focus sur la sécurité centrée sur le cloud.
- Le groupe category répertorie toutes les définitions de Azure Policy dans la catégorie « Defender for Cloud ».
Pour plus d’informations sur les stratégies de sécurité, consultez Utilisation des stratégies de sécurité. Pour d’autres Azure Policy intégrées pour d’autres services, consultez Azure Policy définitions intégrées.
Le nom de chaque définition de stratégie intégrée est lié à la définition de stratégie dans le portail Azure. Utilisez le lien dans la colonne Version pour afficher la source sur le dépôt Azure Policy GitHub.
initiatives de Microsoft Defender for Cloud
Pour en savoir plus sur les initiatives intégrées supervisées par Defender for Cloud, consultez le tableau suivant :
| Name | Description | Policies | Version |
|---|---|---|---|
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent | Déployez Microsoft Defender pour point de terminaison agent sur les images applicables. | 4 | 1.0.0-preview |
| [préversion] : Microsoft benchmark de sécurité cloud v2 | L’initiative de benchmark de sécurité cloud Microsoft représente les stratégies et contrôles qui implémentent des recommandations de sécurité définies dans Microsoft benchmark de sécurité cloud, consultez https://aka.ms/azsecbm. Cela sert également d’initiative de stratégie par défaut Microsoft Defender for Cloud. Vous pouvez affecter directement cette initiative ou gérer ses stratégies et résultats de conformité dans Microsoft Defender for Cloud. | 414 | 1.3.0-preview |
| Configure Protection avancée contre les menaces pour être activé sur des bases de données relationnelles open source | Activez Protection avancée contre les menaces sur vos bases de données relationnelles open source de niveau non De base pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. Consultez https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configure Azure Defender à activer sur sql Server et SQL Managed Instances | Activez Azure Defender sur vos serveurs SQL et instances managées SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | 3 | 3.0.0 |
| plans Configure Microsoft Defender for Cloud | Microsoft Defender for Cloud fournit des protections complètes natives cloud du développement au runtime dans des environnements multiclouds. Utilisez l’initiative de stratégie pour configurer Defender for Cloud plans et extensions à activer sur les étendues sélectionnées. | 12 | 1.1.0 |
| Configure Microsoft Defender pour que les bases de données soient activées | Configurez Microsoft Defender pour les bases de données afin de protéger vos bases de données Azure SQL, vos instances managées, vos bases de données relationnelles open source et Cosmos DB. | 4 | 1.0.0 |
| Configurer plusieurs paramètres d’intégration Microsoft Defender pour point de terminaison avec Microsoft Defender for Cloud | Configurez les paramètres d’intégration de plusieurs Microsoft Defender pour point de terminaison avec Microsoft Defender for Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION etc.). Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | 3 | 1.0.0 |
| Configurer les machines virtuelles SQL et les serveurs SQL avec Arc pour installer l’extension Microsoft Defender | Microsoft Defender pour SQL collecte les événements des agents et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | 3 | 1.0.0 |
| Configurer les machines virtuelles SQL et les serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail LA | Microsoft Defender pour SQL collecte les événements des agents et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Crée un groupe de ressources et une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | 9 | 1.3.0 |
| Configurer les machines virtuelles SQL et les serveurs SQL avec Arc pour installer Microsoft Defender pour SQL et AMA avec un espace de travail LA défini par l’utilisateur | Microsoft Defender pour SQL collecte les événements des agents et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Crée un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | 8 | 1.2.0 |
| Microsoft benchmark de sécurité cloud | L’initiative de benchmark de sécurité cloud Microsoft représente les stratégies et contrôles qui implémentent des recommandations de sécurité définies dans Microsoft benchmark de sécurité cloud, consultez https://aka.ms/azsecbm. Cela sert également d’initiative de stratégie par défaut Microsoft Defender for Cloud. Vous pouvez affecter directement cette initiative ou gérer ses stratégies et résultats de conformité dans Microsoft Defender for Cloud. | 223 | 57.56.0 |
initiative par défaut de Defender for Cloud (Microsoft benchmark de sécurité cloud)
Pour en savoir plus sur les stratégies intégrées supervisées par Defender for Cloud, consultez le tableau suivant :
| Nom de stratégie (portail Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Azure Security Center a identifié que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protéger vos sous-réseaux contre les menaces potentielles en limitant l’accès à ceux-ci avec Pare-feu Azure ou un pare-feu de nouvelle génération pris en charge | AuditIfNotExists, Désactivé | 3.0.0-preview | |
| [préversion] : Azure Arc clusters Kubernetes activés doivent avoir Microsoft Defender for Cloud extension installée | Microsoft Defender for Cloud extension pour Azure Arc fournit une protection contre les menaces pour vos clusters Kubernetes avec Arc. L’extension collecte des données à partir de tous les nœuds du cluster et les envoie au Azure Defender serveur principal Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [préversion] : Azure serveur flexible PostgreSQL doit avoir activé Microsoft Entra uniquement l’authentification | La désactivation des méthodes d’authentification locales et l’autorisation uniquement Microsoft Entra l’authentification améliore la sécurité en garantissant que Azure serveur flexible PostgreSQL est accessible exclusivement par Microsoft Entra identités. | Audit, désactivé | 1.0.0-preview |
| [préversion] : Azure Stack serveurs HCI doivent avoir des stratégies de contrôle d’application appliquées de manière cohérente | Au minimum, appliquez la stratégie de base WDAC Microsoft en mode appliqué sur tous les serveurs HCI Azure Stack. Les stratégies WDAC (Application Control) appliquées Windows Defender doivent être cohérentes entre les serveurs du même cluster. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [préversion] : Azure Stack serveurs HCI doivent répondre aux exigences de base sécurisée | Vérifiez que tous les serveurs HCI Azure Stack répondent aux exigences de base sécurisée. Pour activer la configuration requise pour le serveur principal sécurisé : 1. Dans la page Azure Stack clusters HCI, accédez à Windows Admin Center et sélectionnez Se connecter. 2. Accédez à l’extension de sécurité et sélectionnez Secured-core. 3. Sélectionnez un paramètre qui n’est pas activé, puis cliquez sur Activer. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [préversion] : Azure Stack systèmes HCI doivent avoir des volumes chiffrés | Utilisez BitLocker pour chiffrer le système d’exploitation et les volumes de données sur Azure Stack systèmes HCI. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation invité sur les groupes de machines virtuelles linux identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les groupes de machines virtuelles identiques pris en charge Windows | Installez l’extension Guest Attestation sur les groupes de machines virtuelles identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux groupes de machines virtuelles identiques Windows confidentiels. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [préversion] : la mise en réseau de l’hôte et de la machine virtuelle doit être protégée sur Azure Stack systèmes HCI | Protégez les données sur le réseau hôte Azure Stack HCI et sur les connexions réseau de machines virtuelles. | Audit, Désactivé, AuditIfNotExists | 1.0.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender for Cloud a identifié des composants de démarrage de système d’exploitation non approuvés sur un ou plusieurs de vos ordinateurs Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [préversion] : l’agent de collecte de données du trafic réseau doit être installé sur Windows machines virtuelles | Security Center utilise l’agent de dépendances Microsoft pour collecter des données de trafic réseau à partir de vos machines virtuelles Azure pour activer des fonctionnalités avancées de protection réseau telles que la visualisation du trafic sur la carte réseau, les recommandations de renforcement du réseau et les menaces réseau spécifiques. | AuditIfNotExists, Désactivé | 1.0.2-preview |
| [préversion] : le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles prises en charge Windows pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | Audit, désactivé | 4.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, désactivé | 2.0.0-preview |
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| A Microsoft Entra administrateur doit être approvisionné pour les serveurs MySQL | Auditez l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur MySQL afin d’activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.1.1 |
| A Microsoft Entra administrateur doit être approvisionné pour les serveurs PostgreSQL | Auditez l’approvisionnement d’un administrateur Microsoft Entra pour votre serveur PostgreSQL afin d’activer l’authentification Microsoft Entra. Microsoft Entra l’authentification permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.1 |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Azure Security Center niveau tarifaire standard inclut l'analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| A Azure Active Directory administrateur doit être approvisionné pour les serveurs SQL | Auditez l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL server afin d’activer Azure l’authentification AD. Azure l’authentification AD permet de simplifier la gestion des autorisations et de centraliser la gestion des identités des utilisateurs de base de données et d’autres services Microsoft | AuditIfNotExists, Désactivé | 1.0.0 |
| les points de terminaison API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour réduire le risque de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| les points de terminaisonAPI non utilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d'API qui n'ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il peut s’agir d’API qui auraient dû être déconseillées à partir du service Gestion des API Azure, mais qui auraient été accidentellement laissées actives. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les API Gestion des API doivent utiliser uniquement des protocoles chiffrés | Pour garantir la sécurité des données en transit, les API doivent être disponibles uniquement via des protocoles chiffrés, tels que HTTPS ou WSS. Évitez d’utiliser des protocoles non sécurisés, tels que HTTP ou WS. | Audit, Désactivé, Refus | 2.0.2 |
| Les appels de Gestion des API aux back-ends d’API doivent être authentifiés | Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends de service Fabric. | Audit, Désactivé, Refus | 1.0.1 |
| Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom | Pour améliorer la sécurité de l’API, Gestion des API doit valider le certificat de serveur backend pour tous les appels d’API. Activez l’empreinte numérique du certificat SSL et la validation du nom. | Audit, Désactivé, Refus | 1.0.2 |
| Le point de terminaison direct de Gestion des API ne doit pas être activé | L’API REST de gestion directe dans Gestion des API Azure contourne Azure Resource Manager mécanismes de contrôle d’accès, d’autorisation et de limitation en fonction du rôle, ce qui augmente la vulnérabilité de votre service. | Audit, Désactivé, Refus | 1.0.2 |
| API Management secret nommé doit être stocké dans Azure Key Vault | Les valeurs nommées représentent une collection de paires nom et valeur dans chaque service Gestion des API. Les valeurs de secret peuvent être stockées sous forme de texte chiffré dans Gestion des API (secrets personnalisés) ou en référençant les secrets dans Azure Key Vault. Pour améliorer la sécurité de la gestion des API et des secrets, référencez les valeurs nommées secrètes à partir de Azure Key Vault. Azure Key Vault prend en charge les stratégies de gestion des accès et de rotation des secrets granulaires. | Audit, Désactivé, Refus | 1.0.2 |
| Les services Gestion des API doivent utiliser un réseau virtuel | Réseau virtuel Azure déploiement offre une sécurité renforcée, une isolation et vous permet de placer votre service Gestion des API dans un réseau routable non Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. | Audit, Refuser, Désactivé | 1.0.2 |
| Gestion des API doit désactiver l’accès réseau public aux points de terminaison de configuration de service | Pour améliorer la sécurité des services Gestion des API, limitez la connectivité aux points de terminaison de configuration des services, tels que l’API de gestion de l’accès direct, le point de terminaison de gestion de la configuration Git ou le point de terminaison de configuration des passerelles auto-hébergées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les abonnements à Gestion des API ne doivent pas être étendus à toutes les API | Les abonnements à Gestion des API doivent être étendus à un produit ou à une API individuelle au lieu de toutes les API, ce qui peut entraîner une exposition excessive des données. | Audit, Désactivé, Refus | 1.1.0 |
| App Configuration doit utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Désactivé | 1.0.2 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.2.0 |
| Auditer l’utilisation des rôles RBAC personnalisés | Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces | Audit, désactivé | 1.0.1 |
| L’audit sur SQL Server doit être activé | L’audit sur votre SQL Server doit être activé pour suivre les activités de base de données sur toutes les bases de données sur le serveur et les enregistrer dans un journal d’audit. | AuditIfNotExists, Désactivé | 2.0.0 |
| L’authentification auprès des machines Linux doit exiger des clés SSH | Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sécurisée pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est avec une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Désactivé | 3.2.0 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, désactivé | 2.0.1 |
| Les variables de compte Automation doivent être chiffrées | Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles | Audit, Refuser, Désactivé | 1.1.0 |
| Azure ressources AI Services doivent chiffrer les données au repos avec une clé gérée par le client (CMK) | L’utilisation de clés gérées par le client pour chiffrer les données au repos offre un meilleur contrôle sur le cycle de vie des clés, notamment la rotation et la gestion. Cela est particulièrement pertinent pour les organisations ayant des exigences de conformité associées. Cela n’est pas évalué par défaut et doit être appliqué uniquement en cas d’exigences de stratégie restrictives ou de conformité. Si cette option n’est pas activée, les données sont chiffrées à l’aide de clés gérées par la plateforme. Pour implémenter cela, mettez à jour le paramètre « Effet » dans la stratégie de sécurité pour l’étendue applicable. | Audit, Refuser, Désactivé | 2.2.0 |
| Azure les ressources AI Services doivent avoir un accès à clé désactivé (désactiver l’authentification locale) | Pour des raisons de sécurité, il est recommandé de désactiver l’accès à la clé (authentification locale). Azure OpenAI Studio, généralement utilisé dans le développement/test, nécessite un accès à clé et ne fonctionnera pas si l’accès à la clé est désactivé. Après la désactivation, Microsoft Entra ID devient la seule méthode d’accès, qui permet de conserver le principe de privilège minimal et le contrôle granulaire. Plus d’informations sur : https://aka.ms/AI/auth | Audit, Refuser, Désactivé | 1.1.0 |
| Azure ressources AI Services doivent restreindre l’accès réseau | En limitant l’accès réseau, vous pouvez vous assurer que seuls les réseaux autorisés peuvent accéder au service. Pour ce faire, configurez des règles réseau afin que seules les applications provenant de réseaux autorisés puissent accéder au service IA Azure. | Audit, Refuser, Désactivé | 3.3.0 |
| Azure ressources AI Services doivent utiliser Azure Private Link | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link réduit les risques de fuite de données en gérant la connectivité entre le consommateur et les services via le réseau principal Azure. En savoir plus sur les liaisons privées : https://aka.ms/AzurePrivateLink/Overview | Audit, désactivé | 1.0.0 |
| Gestion des API Azure version de plateforme doit être stv2 | Gestion des API Azure version de la plateforme de calcul stv1 sera mise hors service le 31 août 2024, et ces instances doivent être migrées vers la plateforme de calcul stv2 pour une prise en charge continue. Pour en savoir plus, voir https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Arc clusters Kubernetes activés doivent avoir installé l’extension Azure Policy | L’extension Azure Policy pour Azure Arc fournit des mises en œuvre et des protections à grande échelle sur vos clusters Kubernetes avec Arc de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. | AuditIfNotExists, Désactivé | 1.1.0 |
| Sauvegarde Azure doit être activé pour Machines Virtuelles | Veillez à protéger votre Machines virtuelles Azure en activant Sauvegarde Azure. Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. | AuditIfNotExists, Désactivé | 3.0.0 |
| Azure Cache pour Redis devez utiliser une liaison privée | Les points de terminaison privés vous permettent de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. En mappant des points de terminaison privés à vos instances de Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Cosmos DB comptes doivent avoir des règles de pare-feu | Les règles de pare-feu doivent être définies sur vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Cosmos DB comptes doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. | audit, Audit, refus, Refus, désactivé, Désactivé | 1.1.0 |
| Azure Cosmos DB doit désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure Databricks Clusters doivent désactiver l’adresse IP publique | La désactivation de l'adresse IP publique des clusters dans Azure Databricks espaces de travail améliore la sécurité en garantissant que les clusters ne sont pas exposés sur l'Internet public. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Databricks Les espaces de travail doivent se trouver dans un réseau virtuel | Azure réseaux virtuels offrent une sécurité et une isolation améliorées pour vos espaces de travail Azure Databricks, ainsi que les sous-réseaux, les stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Refuser, Désactivé | 1.0.2 |
| Azure Databricks Espaces de travail doivent désactiver l’accès au réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez contrôler l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Databricks Espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Databricks espaces de travail, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/adbpe. | Audit, désactivé | 1.0.2 |
| Azure protection DDoS doit être activée | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à https://aka.ms/defender-for-resource-manager . L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs Azure SQL non protégés | Auditer les serveurs SQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 2.0.1 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les instances managées SQL non protégées | Auditez chaque SQL Managed Instance sans sécurité avancée des données. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Event Grid domaines doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, désactivé | 1.0.2 |
| Azure Event Grid rubriques doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. | Audit, désactivé | 1.0.2 |
| Azure Key Vault devez avoir un pare-feu activé ou un accès réseau public désactivé | Activez le pare-feu du coffre de clés afin que le coffre de clés ne soit pas accessible par défaut à des adresses IP publiques ou désactive l’accès réseau public pour votre coffre de clés afin qu’il ne soit pas accessible via l’Internet public. Vous pouvez éventuellement configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Pour en savoir plus : https://docs.microsoft.com/azure/key-vault/general/network-security et https://aka.ms/akvprivatelink | Audit, Refuser, Désactivé | 3.3.0 |
| Azure Key Vault devez utiliser le modèle d’autorisation RBAC | Activez le modèle d’autorisation RBAC sur les coffres de clés. Plus d’informations sur : https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Refuser, Désactivé | 1.0.1 |
| Azure Les coffres de clés doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service clusters doivent avoir Defender profil activé | Microsoft Defender pour conteneurs fournit des fonctionnalités de sécurité Kubernetes natives dans le cloud, notamment le renforcement de l’environnement, la protection des charges de travail et la protection au moment de l’exécution. Lorsque vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter des données d’événement de sécurité. En savoir plus sur Microsoft Defender pour les conteneurs dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, désactivé | 2.0.1 |
| Azure Machine Learning instances de calcul doivent être recréées pour obtenir les dernières mises à jour logicielles | Vérifiez que Azure Machine Learning instances de calcul s’exécutent sur le système d’exploitation disponible le plus récent. La sécurité est renforcée et les vulnérabilités sont réduites si l’exécution se fait avec les derniers correctifs de sécurité. Pour plus d’informations, consultez https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Calculs doivent se trouver dans un réseau virtuel | Azure réseaux virtuels offrent une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Quand une capacité de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. | Audit, désactivé | 1.0.1 |
| Azure Machine Learning Calculs doivent avoir des méthodes d’authentification locales désactivées | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les calculs Machine Learning nécessitent Azure Active Directory identités exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. | Audit, Refuser, Désactivé | 2.1.0 |
| Azure Machine Learning espaces de travail doivent être chiffrés avec une clé gérée par le client | Gérez le chiffrement au repos de Azure Machine Learning données d’espace de travail avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. | Audit, Refuser, Désactivé | 1.1.0 |
| Azure Machine Learning Espaces de travail doivent désactiver l’accès au réseau public | La désactivation de l'accès au réseau public améliore la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l'Internet public. Vous pouvez contrôler l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. En savoir plus à l’adresse suivante : https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Refuser, Désactivé | 2.0.1 |
| Azure Machine Learning espaces de travail doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à Azure Machine Learning espaces de travail, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, désactivé | 1.0.0 |
| Azure serveur flexible MySQL doit avoir Microsoft Entra Authentification uniquement activée | La désactivation des méthodes d’authentification locales et l’autorisation uniquement Microsoft Entra l’authentification améliore la sécurité en garantissant que Azure serveur flexible MySQL est accessible exclusivement par Microsoft Entra identités. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure Policy module complémentaire pour Kubernetes Service (AKS) doit être installé et activé sur vos clusters | Azure Policy module complémentaire pour Kubernetes Service (AKS) étend Gatekeeper v3, un webhook de contrôleur d’admission pour Open Policy Agent (OPA), pour appliquer des mises en œuvre à grande échelle et des protections sur vos clusters de manière centralisée et cohérente. | Audit, désactivé | 1.0.2 |
| Azure les images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure l’exécution d’images conteneur doit avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure SignalR Service devez utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre ressource Azure SignalR Service au lieu de l'ensemble du service, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. | Audit, désactivé | 1.0.0 |
| Azure Spring Cloud doit utiliser l’injection de réseau | Azure instances Spring Cloud doivent utiliser l’injection de réseau virtuel à des fins suivantes : 1. Isolez Azure Spring Cloud à partir d’Internet. 2. Activez Azure Spring Cloud pour interagir avec les systèmes dans des centres de données locaux ou Azure service dans d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. | Audit, Désactivé, Refus | 1.2.0 |
| Azure SQL Database devez exécuter TLS version 1.2 ou ultérieure | La définition de la version TLS sur la version 1.2 ou ultérieure améliore la sécurité en veillant à ce que votre Azure SQL Database soit accessible uniquement à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. | Audit, Désactivé, Refus | 2.0.0 |
| Azure SQL Database devez activer l’authentification Microsoft Entra uniquement | Exiger Azure SQL serveurs logiques pour utiliser l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création de serveurs dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL les serveurs logiques doivent avoir Microsoft Entra authentification uniquement activée lors de la création | Exiger Azure SQL serveurs logiques à créer avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.3.0 |
| Azure SQL Managed Instance devez activer l’authentification Microsoft Entra uniquement | Exiger Azure SQL Managed Instance utiliser l’authentification Microsoft Entra uniquement. Cette stratégie ne empêche pas Azure SQL instances managées d'être créées avec l'authentification locale activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL Managed Instances doit désactiver l’accès au réseau public | La désactivation de l’accès au réseau public (point de terminaison public) sur Azure SQL Managed Instances améliore la sécurité en s’assurant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur l’accès au réseau public, consultez https://aka.ms/mi-public-endpoint. | Audit, Refuser, Désactivé | 1.0.0 |
| Azure SQL Managed Instances doit avoir Microsoft Entra authentification uniquement activée lors de la création | Exiger Azure SQL Managed Instance être créé avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/adonlycreate. | Audit, Refuser, Désactivé | 1.2.0 |
| Azure Web Application Firewall doit être activé pour Azure Front Door points d’entrée | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 1.0.2 |
| Comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| La période de validité maximale doit être spécifiée pour les certificats | Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. | audit, Audit, refus, Refus, désactivé, Désactivé | 2.2.1 |
| Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client | Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. | Audit, Refuser, Désactivé | 1.1.2 |
| Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint | Azure registres de conteneurs par défaut acceptent les connexions via Internet à partir d’hôtes sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. En savoir plus sur les règles de réseau Container Registry ici : https://aka.ms/acr/privatelinkethttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Refuser, Désactivé | 2.0.0 |
| Les registres de conteneurs doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme de liaison privée gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs au lieu de l'ensemble du service, vous serez également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. | Audit, désactivé | 1.0.1 |
| Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les comptes de base de données Cosmos DB nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Refuser, Désactivé | 1.1.0 |
| Les comptes CosmosDB doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, désactivé | 1.0.0 |
| Les journauxDiagnostic dans Azure AI services ressources doivent être activés | Activez les journaux d’activité pour les ressources Azure AI services. Cela vous permet de recréer les pistes d’activité à des fins d’investigation, en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 1.0.0 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL | Azure Database pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, désactivé | 1.0.1 |
| L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL | Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes à l’aide du protocole SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. | Audit, désactivé | 1.0.1 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications avec la version HTTP définie sur 1.1. | AuditIfNotExists, Désactivé | 1.1.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.1.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activer la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.3.0 |
| La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB | Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, désactivé | 1.0.1 |
| La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL | Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, désactivé | 1.0.1 |
| La sauvegarde redondantegeo-redondante doit être activée pour Azure Database pour PostgreSQL | Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. | Audit, désactivé | 1.0.1 |
| les comptes Guest disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Comptesguest disposant d’autorisations de lecture sur Azure ressources doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| les comptes Guest disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest sont disponibles, telles que « Windows Exploit Guard doit être activée ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Key Vault clés doivent avoir une date d’expiration | Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. | Audit, Refuser, Désactivé | 1.0.2 |
| Key Vault secrets doivent avoir une date d’expiration | Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. | Audit, Refuser, Désactivé | 1.0.2 |
| La protection contre la suppression doit être activée pour les coffres de clés | La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Vous pouvez empêcher la perte permanente de données en activant la protection contre la suppression définitive et la suppression réversible. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne à l’intérieur de votre organisation ou Microsoft ne pourra vider vos coffres de clés pendant la période de rétention de suppression réversible. N’oubliez pas que la suppression réversible est activée par défaut pour les coffres de clés créés après le 1er septembre 2019. | Audit, Refuser, Désactivé | 2.1.0 |
| La suppression réversible doit être activée sur les coffres de clés | La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. | Audit, Refuser, Désactivé | 3.1.0 |
| Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées | Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
| Les conteneurs de cluster Kubernetes ne doivent pas partager d’espaces de noms hôtes | Empêchez les conteneurs de pods de partager l’espace de noms d’ID de processus hôte, l’espace de noms IPC hôte et l’espace de noms du réseau hôte dans un cluster Kubernetes. Cette recommandation s’aligne sur les normes de sécurité des pods Kubernetes pour les espaces de noms d’hôte et fait partie de CIS 5.2.1, 5.2.2 et 5.2.3 qui sont destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 6.0.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés | Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.1 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées | Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.3.0 |
| Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule | Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.3.0 |
| Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés | Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.3.0 |
| Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés | Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 6.2.0 |
| Les pods de cluster Kubernetes ne doivent utiliser que le réseau hôte approuvé et la liste des ports | Limitez l’accès des pods au réseau hôte et aux ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie de CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes et s’aligne sur les normes de sécurité des pods (PSS) pour hostPorts. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 7.0.0 |
| Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés | Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 8.2.0 |
| Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés | Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 9.2.0 |
| Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS | L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette fonctionnalité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc | Audit, Refuser, Désactivé | 9.0.0 |
| Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API | Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.2.0 |
| Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur | N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et la préversion pour Azure Arc Kubernetes activé. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | Audit, Refuser, Désactivé | 8.0.0 |
| Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN | Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 5.1.0 |
| Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut | Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. | audit, Audit, refus, Refus, désactivé, Désactivé | 4.2.0 |
| Les machineslinux doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists, Désactivé | 2.3.1 |
| Machines virtuelleslinux doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.2.1 |
| Les machines doivent être configurées pour rechercher régulièrement les mises à jour système manquantes | Pour garantir que les évaluations périodiques des mises à jour système manquantes sont déclenchées automatiquement toutes les 24 heures, la propriété AssessmentMode doit être définie sur « AutomaticByPlatform ». En savoir plus sur la propriété AssessmentMode pour Windows : https://aka.ms/computevm-windowspatchassessmentmode, pour Linux : https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Refuser, Désactivé | 3.9.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’accès possible au réseau juste-à-temps (JIT) sera surveillé par Azure Security Center en tant que recommandations | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Network Watcher doit être activé | Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer les conditions au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les connexions sécurisées à votre Azure Cache pour Redis doivent être activées | Auditez l’activation des connexions uniquement via SSL pour Azure Cache pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). | Audit, Refuser, Désactivé | 1.0.0 |
| Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault créée et détenue par vous. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. | AuditIfNotExists, Désactivé | 1.0.4 |
| Connexions de point de terminaisonPrivate sur Azure SQL Database doivent être activées | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure SQL Database. | Audit, désactivé | 1.1.0 |
| Le point de terminaison privé doit être activé pour les serveurs MariaDB | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure Database for MariaDB. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs MySQL | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée aux Azure Database pour MySQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Le point de terminaison privé doit être activé pour les serveurs PostgreSQL | Les connexions de point de terminaison privé appliquent une communication sécurisée en activant la connectivité privée à Azure Database pour PostgreSQL. Configurez une connexion de point de terminaison privé pour activer l’accès au trafic provenant uniquement des réseaux connus et empêcher l’accès à toutes les autres adresses IP, y compris dans Azure. | AuditIfNotExists, Désactivé | 1.0.2 |
| Un accès réseau public sur Azure SQL Database doit être désactivé | La désactivation de la propriété d’accès au réseau public améliore la sécurité en garantissant que votre Azure SQL Database est accessible uniquement à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 1.1.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MariaDB | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et assurez-vous que votre Azure Database for MariaDB est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu ip ou de pare-feu basées sur un réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs MySQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et assurez-vous que votre Azure Database pour MySQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu ip ou de pare-feu basées sur un réseau virtuel. | Audit, Refuser, Désactivé | 2.0.0 |
| L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL | Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et assurez-vous que votre Azure Database pour PostgreSQL est accessible uniquement à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de n’importe quel espace d’adressage public en dehors de Azure plage d’adresses IP et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. | Audit, Refuser, Désactivé | 2.0.1 |
| Les journaux de ressources dans Azure Data Lake Store doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| les journaux Resource dans Azure Databricks Espaces de travail doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources dans Azure Kubernetes Service doivent être activés | les journaux de ressources de Azure Kubernetes Service peuvent aider à recréer des pistes d'activité lors de l'examen des incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire | AuditIfNotExists, Désactivé | 1.0.0 |
| les journaux Resource dans Azure Machine Learning Espaces de travail doivent être activés | Les journaux de ressources permettent de recréer des pistes d’activité à utiliser à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressources dans Azure Stream Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans les comptes Batch doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Data Lake Analytics doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Event Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans IoT Hub doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 3.1.0 |
| Les journaux de ressources dans Key Vault doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Logic Apps doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.1.0 |
| Les journaux de ressources dans les services Search doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Les journaux de ressources dans Service Bus doivent être activés | Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 5.0.0 |
| Role-Based Access Control (RBAC) doit être utilisé sur Kubernetes Services | Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez Role-Based Access Control (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. | Audit, désactivé | 1.1.0 |
| La sécurisation du transfert vers des comptes de stockage doit être activée | Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) | Audit, Refuser, Désactivé | 2.0.0 |
| Service Fabric clusters doivent avoir la propriété ClusterProtectionLevel définie sur EncryptAndSign | Le service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication de nœud à nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement | Audit, Refuser, Désactivé | 1.1.0 |
| Les clusters Fabric service ne doivent utiliser Azure Active Directory que pour l’authentification du client | Auditer l’utilisation de l’authentification du client uniquement via Azure Active Directory dans Service Fabric | Audit, Refuser, Désactivé | 1.1.0 |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé vous offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.0 |
| L’approvisionnement automatique ciblé sur le serveur SQL doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : https://aka.ms/SQLAMAMigration | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos | L’implémentation de Transparent Data Encryption (TDE) avec votre propre clé offre une transparence et un contrôle accrus sur le protecteur TDE, une sécurité accrue avec un service externe soutenu par HSM et la promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. | Audit, Refuser, Désactivé | 2.0.1 |
| Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours | À des fins d'investigation des incidents, nous vous recommandons de définir la conservation des données pour l'audit de votre SQL Server sur la destination du compte de stockage à au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’accès public au compte de stockage doit être interdit | L’accès en lecture publique anonyme aux conteneurs et aux objets blob dans stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques de sécurité. Pour éviter les violations de données provoquées par l’accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. | audit, Audit, refus, Refus, désactivé, Désactivé | 3.1.1 |
| Les comptesStorage doivent être migrés vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos comptes de stockage pour fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent empêcher l’accès à la clé partagée | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 2.0.0 |
| Les comptes de stockage doivent empêcher l’accès à clé partagée (à l’exclusion des comptes de stockage créés par Databricks) | Auditer les exigences de Azure Active Directory (Azure AD) pour autoriser les demandes de votre compte de stockage. Par défaut, les demandes peuvent être autorisées avec des informations d’identification Azure Active Directory, ou à l’aide de la clé d’accès de compte pour l’autorisation de clé partagée. Parmi ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures sur la clé partagée, et est recommandé par Microsoft. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent limiter l’accès réseau | L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions à partir de clients Internet ou locaux spécifiques, l’accès peut être accordé au trafic à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques | Audit, Refuser, Désactivé | 1.1.1 |
| Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.1 |
| Les comptes de stockage doivent restreindre l’accès réseau à l’aide de règles de réseau virtuel (à l’exception des comptes de stockage créés par Databricks) | Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. | Audit, Refuser, Désactivé | 1.0.0 |
| Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement | Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. | Audit, désactivé | 1.0.3 |
| Les comptes de stockage doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 2.0.0 |
| Les comptes de stockage doivent utiliser une liaison privée (à l’exclusion des comptes de stockage créés par Databricks) | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les groupes de sécurité réseau contiennent une liste de règles de liste de Access Control (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| les espaces de travail Synapse doivent avoir activé l’authentification Microsoft Entra uniquement | Exiger que les espaces de travail Synapse utilisent l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas la création d’espaces de travail dont l’authentification locale est activée. Elle empêche l’authentification locale d’être activée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.0.0 |
| Synapse Workspaces doit utiliser uniquement des identités Microsoft Entra pour l’authentification lors de la création de l’espace de travail | Exiger la création d’espaces de travail Synapse avec l’authentification Microsoft Entra uniquement. Cette stratégie n’empêche pas l’authentification locale d’être réactivée sur les ressources après leur création. Envisagez plutôt d'utiliser l'initiative d'authentification « Microsoft Entra uniquement » pour exiger les deux. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/Synapse. | Audit, Refuser, Désactivé | 1.2.0 |
| Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.1 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Transparent Data Encryption sur les bases de données SQL doit être activé | Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé | Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. | Audit, Refuser, Désactivé | 1.0.0 |
| Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager | Utilisez de nouvelles Azure Resource Manager pour vos machines virtuelles afin de fournir des améliorations de sécurité telles que : contrôle d’accès plus fort (RBAC), un meilleur audit, un déploiement et une gouvernance basés sur Azure Resource Manager, l’accès aux identités managées, l’accès au coffre de clés pour les secrets, Azure Authentification basée sur AD et prise en charge des balises et des groupes de ressources pour faciliter la gestion de la sécurité | Audit, Refuser, Désactivé | 1.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Azure machines virtuelles dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
| Les modèles VM Image Builder doivent utiliser une liaison privée | Azure Private Link vous permet de connecter votre réseau virtuel à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés à vos ressources de création VM Image Builder, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Désactivé, Refus | 1.1.0 |
| les passerelles VPN doivent utiliser uniquement l’authentification Azure Active Directory (Azure AD) pour les utilisateurs point à site | La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant que les passerelles VPN utilisent uniquement Azure Active Directory identités pour l’authentification. En savoir plus sur l’authentification AD Azure à https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Refuser, Désactivé | 1.0.0 |
| L’évaluation de lavulnerabilité doit être activée sur SQL Managed Instance | Auditez chaque SQL Managed Instance qui n'a pas d'analyses récurrentes d'évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 1.0.1 |
| L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL | Auditez Azure SQL serveurs qui n’ont pas correctement configuré l’évaluation des vulnérabilités. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. | AuditIfNotExists, Désactivé | 3.0.0 |
| Web Application Firewall (WAF) doit être activé pour Application Gateway | Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour une inspection supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les attaques et vulnérabilités courantes telles que les injections SQL, les scripts intersites, les exécutions de fichiers locaux et distants. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. | Audit, Refuser, Désactivé | 2.0.0 |
| Windows Defender Exploit Guard doit être activé sur vos machines | Windows Defender Exploit Guard utilise l’agent Azure Policy Guest Configuration. Exploit Guard a quatre composants conçus pour verrouiller les appareils contre un large éventail de vecteurs d’attaque et bloquer les comportements couramment utilisés dans les attaques contre les programmes malveillants tout en permettant aux entreprises d’équilibrer leurs besoins en matière de sécurité et de productivité (Windows uniquement). | AuditIfNotExists, Désactivé | 2.0.0 |
| Windows machines doivent être configurées pour utiliser des protocoles de communication sécurisés | Pour protéger la confidentialité des informations communiquées sur Internet, vos machines doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). TLS sécurise les communications sur un réseau en chiffrant une connexion entre les machines. | AuditIfNotExists, Désactivé | 4.1.1 |
| Windows machines doivent répondre aux exigences de la base de référence de sécurité de calcul Azure | Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine n’est pas configurée correctement pour l’une des recommandations de la base de référence de sécurité de calcul Azure. | AuditIfNotExists, Désactivé | 2.1.1 |
| Windows machines virtuelles doivent activer Azure Disk Encryption ou EncryptionAtHost. | Bien que le système d’exploitation et les disques de données d’une machine virtuelle soient chiffrés au repos par défaut à l’aide de clés managées par la plateforme, les disques de ressource (disques temporaires), les caches de données et les flux de données entre les ressources de calcul et de stockage ne sont pas chiffrés. Utilisez Azure Disk Encryption ou EncryptionAtHost pour corriger. Consultez https://aka.ms/diskencryptioncomparison pour comparer les offres de chiffrement. Cette stratégie nécessite deux conditions préalables pour être déployée dans l’étendue de l’affectation de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.1.1 |
catégorie Microsoft Defender for Cloud
| Name (portail Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : l’extension ChangeTracking doit être installée sur votre machine Linux Arc | Installez l’extension ChangeTracking sur les machines Linux Arc pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux | Installez l’extension ChangeTracking sur des machines virtuelles Linux pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : l’extension ChangeTracking doit être installée sur votre ordinateur Arc Windows Arc | Installez l’extension ChangeTracking sur Windows ordinateurs Arc pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : l’extension ChangeTracking doit être installée sur votre machine virtuelle Windows | Installez l’extension ChangeTracking sur Windows machines virtuelles pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurer Azure Defender pour l’agent SQL sur une machine virtuelle | Configurez Windows machines pour installer automatiquement l’Azure Defender pour l’agent SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et Log Analytics espace de travail dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les groupes de machines virtuelles Linux identiques pris en charge pour installer automatiquement l’extension d’attestation d’invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 6.1.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 5.0.0-preview |
| [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité | Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Guest Attestation pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 7.1.0-preview |
| [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM | Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurez les groupes de machines virtuelles identiques pris en charge Windows pour installer automatiquement l’extension Guest Attestation | Configurez les groupes de machines virtuelles identiques pris en charge Windows pour installer automatiquement l’extension d’attestation d’invité afin d’autoriser Azure Security Center à attester et surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 4.1.0-preview |
| [préversion] : configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé | Configurez les machines virtuelles prises en charge Windows pour permettre automatiquement au démarrage sécurisé d’atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. | DeployIfNotExists, Désactivé | 3.0.0-preview |
| [préversion] : configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Guest Attestation | Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 5.1.0-preview |
| [préversion] : configurez les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez les machines virtuelles créées avec des images Shared Image Gallery pour installer automatiquement l’extension Guest Attestation pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.0.0-preview |
| [préversion] : configurez VMSS créé avec des images Shared Image Gallery pour installer l’extension Guest Attestation | Configurez VMSS créé avec des images Shared Image Gallery pour installer automatiquement l’extension d’attestation d’invité pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. | DeployIfNotExists, Désactivé | 2.1.0-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur des machines hybrides Linux | Déploie Microsoft Defender pour point de terminaison agent sur des machines hybrides Linux | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.1-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur des machines virtuelles Linux | Déploie Microsoft Defender pour point de terminaison agent sur les images de machine virtuelle Linux applicables. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 3.0.0-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur Windows Azure Arc machines | Déploie Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.1-preview |
| [préversion] : Déployer Microsoft Defender pour point de terminaison agent sur des machines virtuelles Windows | Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 2.0.1-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge | Installez l’extension Attestation invité sur les machines virtuelles Linux prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 6.0.0-preview |
| [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge | Installez l’extension Attestation invité sur les groupes de machines virtuelles linux identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. | AuditIfNotExists, Désactivé | 5.1.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les machines virtuelles Windows prises en charge | Installez l’extension Attestation invité sur les machines virtuelles prises en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | AuditIfNotExists, Désactivé | 4.0.0-preview |
| [préversion] : l’extension Attestation invité doit être installée sur les groupes de machines virtuelles identiques pris en charge Windows | Installez l’extension Guest Attestation sur les groupes de machines virtuelles identiques pris en charge pour permettre à Azure Security Center d’attester et de surveiller de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique au lancement approuvé et aux groupes de machines virtuelles identiques Windows confidentiels. | AuditIfNotExists, Désactivé | 3.1.0-preview |
| [Préversion] : les machines virtuelles Linux doivent utiliser uniquement des composants de démarrage signés et approuvés | Tous les composants de démarrage du système d’exploitation (chargeur de démarrage, noyau, pilotes de noyau) doivent être signés par des éditeurs approuvés. Defender for Cloud a identifié des composants de démarrage de système d’exploitation non approuvés sur un ou plusieurs de vos ordinateurs Linux. Pour protéger vos machines contre les composants potentiellement malveillants, ajoutez-les à votre liste d’autorisation ou supprimez les composants identifiés. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé | Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux qui ont installé l’agent Azure Monitor. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque | les conditions d'utilisation de Azure interdisent l'utilisation de services Azure de manière à endommager, désactiver, surcharger ou compromettre tout serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [préversion] : le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge | Activez le démarrage sécurisé sur les machines virtuelles prises en charge Windows pour atténuer les modifications malveillantes et non autorisées apportées à la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique au lancement approuvé et aux machines virtuelles confidentielles Windows. | Audit, désactivé | 4.0.0-preview |
| [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain | L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. | AuditIfNotExists, Désactivé | 1.0.0-preview |
| [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge | Activez l’appareil module de plateforme sécurisée (TPM) virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. | Audit, désactivé | 2.0.0-preview |
| 3 propriétaires maximum doivent être désignés pour votre abonnement | Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles | Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Azure Security Center niveau tarifaire standard inclut l'analyse des vulnérabilités pour vos machines virtuelles sans frais supplémentaires. De plus, Security Center peut déployer cet outil automatiquement pour vous. | AuditIfNotExists, Désactivé | 3.0.0 |
| Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle | Azure Security Center a identifié certaines des règles de trafic entrant de vos groupes de sécurité réseau pour être trop permissives. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. | AuditIfNotExists, Désactivé | 3.0.0 |
| les points de terminaison API dans Gestion des API Azure doivent être authentifiés | Les points de terminaison d’API publiés dans Gestion des API Azure doivent appliquer l’authentification pour réduire le risque de sécurité. Les mécanismes d’authentification sont parfois implémentés de manière incorrecte ou sont manquants. Cela permet aux attaquants d’exploiter les failles d’implémentation et d’accéder aux données. Apprenez-en plus ici sur la menace de l’API OWASP pour l’authentification utilisateur interrompue : https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Désactivé | 1.0.1 |
| les points de terminaisonAPI non utilisés doivent être désactivés et supprimés du service Gestion des API Azure | Comme bonne pratique de sécurité, les points de terminaison d'API qui n'ont pas reçu le trafic pendant 30 jours sont considérés comme inutilisés et doivent être supprimés du service Gestion des API Azure. La conservation de points de terminaison d’API inutilisés peut présenter un risque de sécurité pour votre organisation. Il peut s’agir d’API qui auraient dû être déconseillées à partir du service Gestion des API Azure, mais qui auraient été accidentellement laissées actives. Ces API ne bénéficient généralement pas de la couverture de sécurité la plus récente. | AuditIfNotExists, Désactivé | 1.0.1 |
| Assigner l’identité affectée par le système à SQL Machines Virtuelles | Attribuez une identité affectée par le système à grande échelle à Windows machines virtuelles SQL. | DeployIfNotExists, Désactivé | 1.0.0 |
| Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes | Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. | Audit, désactivé | 2.0.1 |
| Azure protection DDoS doit être activée | La protection DDoS doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle applicative avec une adresse IP publique. | AuditIfNotExists, Désactivé | 3.0.1 |
| Azure Defender pour App Service doit être activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs Azure SQL Database doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour Key Vault doit être activé | Azure Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les bases de données relationnelles open source doivent être activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour Resource Manager doit être activé | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à https://aka.ms/defender-for-resource-manager . L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour les serveurs doivent être activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | AuditIfNotExists, Désactivé | 1.0.3 |
| Azure Defender pour les serveurs SQL sur les machines doivent être activés | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles MySQL non protégés | Auditer des serveurs flexibles MySQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure Defender pour SQL doit être activé pour les serveurs flexibles PostgreSQL non protégés | Auditer des serveurs flexibles PostgreSQL sans Advanced Data Security | AuditIfNotExists, Désactivé | 1.0.0 |
| Azure les images conteneur de Registre doivent avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. La résolution des vulnérabilités permet d’améliorer considérablement votre posture de sécurité, garantissant ainsi que les images sont utilisées en toute sécurité avant le déploiement. | AuditIfNotExists, Désactivé | 1.0.1 |
| Azure l’exécution d’images conteneur doit avoir des vulnérabilités résolues (alimentées par Gestion des vulnérabilités Microsoft Defender) | L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de vulnérabilités connues et fournit un rapport de vulnérabilité détaillé pour chaque image. Cette recommandation fournit une visibilité sur les images vulnérables en cours d’exécution dans vos clusters Kubernetes. La correction des vulnérabilités dans les images conteneur en cours d’exécution est essentielle pour améliorer votre posture de sécurité, ce qui réduit considérablement la surface d’attaque de vos charges de travail conteneurisées. | AuditIfNotExists, Désactivé | 1.0.1 |
| Comptes bloqués disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les comptes bloqués disposant d’autorisations de lecture et d’écriture sur Azure ressources doivent être supprimés | Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux | Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’extensionChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows | Installez l’extension ChangeTracking sur Windows groupes de machines virtuelles identiques pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitoring Agent. | AuditIfNotExists, Désactivé | 2.0.1 |
| Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée | Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. | AuditIfNotExists, Désactivé | 1.0.0 |
| Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) | Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. | AuditIfNotExists, Désactivé | 1.0.0 |
| Configure Protection avancée contre les menaces à activer sur Azure base de données pour les serveurs flexibles MySQL | Activez Protection avancée contre les menaces sur votre base de données Azure pour les serveurs flexibles MySQL afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Protection avancée contre les menaces à activer sur Azure base de données pour les serveurs flexibles PostgreSQL | Activez Protection avancée contre les menaces sur votre base de données Azure pour les serveurs flexibles PostgreSQL afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Arc-enabled SQL Servers pour installer automatiquement Azure Monitor Agent | Automatisez le déploiement de l’extension Azure Monitor Agent sur vos serveurs SQL compatibles avec Arc Windows. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configure Arc-enabled SQL Servers pour installer automatiquement Microsoft Defender pour SQL | Configurez Windows serveurs SQL avec Arc pour installer automatiquement le Microsoft Defender pour l’agent SQL. Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | DeployIfNotExists, Désactivé | 1.2.0 |
| Configure Arc-enabled SQL Server pour installer automatiquement des Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.6.0 |
| Configure Arc-enabled SQL Servers pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail LA défini par l’utilisateur | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.8.0 |
| Configure Arc-enabled SQL Servers with Data Collection Rule Association to Microsoft Defender for SQL DCR | Configurez l’association entre les serveurs SQL avec Arc et les Microsoft Defender pour SQL DCR. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Arc-enabled SQL Servers with Data Collection Rule Association to Microsoft Defender for SQL user-defined DCR | Configurez l’association entre les serveurs SQL avec Arc et le Microsoft Defender pour le DCR défini par l’utilisateur SQL. La suppression de cette association rompt la détection des failles de sécurité pour les serveurs SQL avec Arc. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configure Azure Defender pour que App Service soit activé | Azure Defender pour App Service tire parti de l’échelle du cloud et de la visibilité que Azure possède en tant que fournisseur de cloud pour surveiller les attaques courantes des applications web. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configure Azure Defender pour Azure SQL base de données à activer | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configure Azure Defender pour que les bases de données relationnelles open source soient activées | Azure Defender pour les bases de données relationnelles open source détecte des activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. En savoir plus sur les fonctionnalités de Azure Defender pour les bases de données relationnelles open source à https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Azure Defender pour Resource Manager à activer | Azure Defender pour Resource Manager surveille automatiquement les opérations de gestion des ressources de votre organisation. Azure Defender détecte les menaces et vous avertit des activités suspectes. En savoir plus sur les fonctionnalités de Azure Defender pour Resource Manager à https://aka.ms/defender-for-resource-manager . L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Azure Defender pour que les serveurs soient activés | Azure Defender pour les serveurs fournit une protection contre les menaces en temps réel pour les charges de travail de serveur et génère des recommandations de renforcement, ainsi que des alertes sur les activités suspectes. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configure Azure Defender pour les serveurs SQL sur les machines à activer | Azure Defender pour SQL fournit des fonctionnalités permettant de détecter et d’atténuer les vulnérabilités potentielles des bases de données, de détecter les activités anormales susceptibles d’indiquer des menaces pour les bases de données SQL et de découvrir et de classer des données sensibles. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configurer les Microsoft Defender de base pour que le stockage soit activé (surveillance des activités uniquement) | Microsoft Defender pour le stockage fournit une détection des menaces native Azure pour les comptes de stockage. Cette stratégie active les fonctionnalités de base (surveillance d’activité). Pour une protection complète, notamment l’analyse des programmes malveillants et la découverte de données sensibles, utilisez aka.ms/DFStoragePolicy. Mise à jour de version majeure : PerTransaction n’est plus pris en charge pour les nouvelles activations après le 5 février 2025. Les comptes existants qui l’utilisent restent pris en charge. En savoir plus : aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, Désactivé | 2.0.0 |
| Configurer l’extension ChangeTracking pour les machines Linux Arc | Configurez les machines Linux Arc pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux | Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configurer l’extension ChangeTracking pour les machines virtuelles Linux | Configurez les machines virtuelles Linux pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configure ChangeTracking Extension for Windows Arc machines | Configurez Windows ordinateurs Arc pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configure ChangeTracking Extension pour Windows groupes de machines virtuelles identiques | Configurez Windows groupes de machines virtuelles identiques pour installer automatiquement l’extension ChangeTracking pour activer la supervision de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.1.0 |
| Configure ChangeTracking Extension pour les machines virtuelles Windows | Configurez Windows machines virtuelles pour installer automatiquement l’extension ChangeTracking pour activer la surveillance de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres Windows, les logiciels d’application, les fichiers système Linux, etc. pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et des emplacements pris en charge par Azure Monitor Agent. | DeployIfNotExists, Désactivé | 2.2.0 |
| Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités | Azure Defender inclut l’analyse des vulnérabilités pour vos machines sans frais supplémentaires. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Lorsque vous activez cette stratégie, Azure Defender déploie automatiquement le fournisseur d'évaluation des vulnérabilités Qualys sur toutes les machines prises en charge qui ne l'ont pas déjà installée. | DeployIfNotExists, Désactivé | 4.0.0 |
| plan Configure Microsoft CSPM Defender | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft CSPM Defender pour être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | DeployIfNotExists, Désactivé | 1.0.2 |
| Configure Microsoft Defender pour Azure Cosmos DB à activer | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte des injections SQL potentielles, des acteurs malveillants connus basés sur Microsoft Renseignement sur les menaces, des modèles d’accès suspect et des exploitations potentielles de votre base de données via des identités compromises ou des insiders malveillants. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Microsoft Defender pour le plan Conteneurs | De nouvelles fonctionnalités sont ajoutées en permanence à Defender plan Conteneurs, ce qui peut nécessiter l'activation explicite de l'utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configure Microsoft Defender pour que les conteneurs soient activés | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | DeployIfNotExists, Désactivé | 1.0.1 |
| Configure Microsoft Defender pour point de terminaison paramètres d’intégration avec Microsoft Defender for Cloud (WDATP_EXCLUDE_LINUX...) | Configure les paramètres d’intégration Microsoft Defender pour point de terminaison, dans Microsoft Defender for Cloud (également appelés WDATP_EXCLUDE_LINUX_...), pour activer l’approvisionnement automatique de serveurs MDE pour Linux. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Microsoft Defender pour point de terminaison paramètres d’intégration avec Microsoft Defender for Cloud (WDATP_UNIFIED_SOLUTION) | Configure les paramètres d’intégration Microsoft Defender pour point de terminaison, dans Microsoft Defender for Cloud (également appelé WDATP_UNIFIED_SOLUTION), pour activer l’approvisionnement automatique de l’agent unifié MDE pour Windows Server 2012R2 et 2016. Le paramètre WDATP doit être activé pour que ce paramètre soit appliqué. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer Microsoft Defender pour point de terminaison paramètres d’intégration avec Microsoft Defender for Cloud (WDATP) | Configure les paramètres d’intégration Microsoft Defender pour point de terminaison, dans Microsoft Defender for Cloud (également appelé WDATP), pour Windows machines de niveau inférieur intégrées à MDE via MMA et le provisionnement automatique de MDE sur Windows Server 2019 , Windows Virtual Desktop et versions ultérieures. Doit être activé pour que les autres paramètres (WDATP_UNIFIED, etc.) fonctionnent. Consultez https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint pour plus d’informations. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Microsoft Defender pour Key Vault plan | Microsoft Defender pour Key Vault fournit une couche supplémentaire de protection et de renseignement de sécurité en détectant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de comptes key vault. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Microsoft Defender pour le plan Serveurs | De nouvelles fonctionnalités sont ajoutées en permanence à Defender pour les serveurs, ce qui peut nécessiter l'activation explicite de l'utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Microsoft Defender pour le plan Serveurs (P1 OR P2) | Vérifie que le Microsoft Defender sélectionné pour le sous-plan Serveurs (P1 ou P2) est activé au niveau de l’abonnement. Cette stratégie prend en charge la sélection dynamique via des paramètres et applique le déploiement s’il n’est pas déjà configuré. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure Microsoft Defender pour que SQL soit activé sur les espaces de travail Synapse | Activez Microsoft Defender pour SQL sur vos espaces de travail Azure Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données SQL. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configure Microsoft Defender pour que le stockage soit activé | Microsoft Defender pour le stockage est une couche native Azure d’intelligence de sécurité qui détecte les menaces potentielles pour vos comptes de stockage. Cette stratégie active toutes les Defender pour les fonctionnalités de stockage ; Surveillance des activités, analyse des programmes malveillants et détection des menaces de données sensibles. Pour en savoir plus sur les Defender pour les fonctionnalités de stockage et les avantages, visitez aka.ms/DefenderForStorage. | DeployIfNotExists, Désactivé | 1.5.0 |
| Configure Microsoft Defender protection contre les menaces pour AI Services | De nouvelles fonctionnalités sont ajoutées en permanence à la protection contre les menaces pour les services IA, ce qui peut nécessiter l’activation explicite de l’utilisateur. Utilisez cette stratégie pour vous assurer que toutes les nouvelles fonctionnalités seront activées. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Azure Monitor Agent | Automatisez le déploiement de l’extension Azure Monitor Agent sur votre Windows SQL Machines Virtuelles. En savoir plus : https://aka.ms/AMAOverview. | DeployIfNotExists, Désactivé | 1.6.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL | Configurez Windows sql Machines Virtuelles pour installer automatiquement l’Microsoft Defender pour l’extension SQL. Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | DeployIfNotExists, Désactivé | 1.6.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail Log Analytics | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.9.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour SQL et DCR avec un espace de travail LA défini par l’utilisateur | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics défini par l’utilisateur. | DeployIfNotExists, Désactivé | 1.10.0 |
| Configure SQL Machines Virtuelles pour installer automatiquement Microsoft Defender pour l’extension SQL | Configurez Windows sql Machines Virtuelles pour installer automatiquement l’Microsoft Defender pour l’extension SQL. Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer le Microsoft Defender de l’espace de travail SQL Log Analytics | Microsoft Defender pour SQL collecte les événements de l’agent et les utilise pour fournir des alertes de sécurité et des tâches de renforcement personnalisées (recommandations). Créez un groupe de ressources et Log Analytics espace de travail dans la même région que la machine. | DeployIfNotExists, Désactivé | 1.5.0 |
| Créer et attribuer une identité managée affectée par l’utilisateur intégrée | Créer et attribuer aux machines virtuelles SQL une identité managée affectée par l’utilisateur intégrée à grande échelle. | AuditIfNotExists, DeployIfNotExists, Désactivé | 1.8.0 |
| Deploy - Configurer des règles de suppression pour les alertes Azure Security Center | Supprimez Azure Security Center alertes pour réduire la fatigue des alertes en déployant des règles de suppression sur votre groupe d’administration ou votre abonnement. | deployIfNotExists | 1.0.0 |
| Deploy export vers Event Hub en tant que service approuvé pour Microsoft Defender for Cloud données | Activez l’exportation vers Event Hub en tant que service approuvé de données Microsoft Defender for Cloud. Cette stratégie déploie une configuration d’exportation sur Event Hub en tant que service approuvé avec vos conditions et votre instance Event Hub cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | DeployIfNotExists, Désactivé | 1.0.0 |
| Deploy export to Event Hub for Microsoft Defender for Cloud data | Activez l’exportation vers Event Hub de données Microsoft Defender for Cloud. Cette stratégie déploie une configuration d’exportation vers Event Hub avec vos conditions et un hub d’événements cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.2.0 |
| Deploy export to Log Analytics workspace for Microsoft Defender for Cloud data | Activez l’exportation vers Log Analytics espace de travail de données Microsoft Defender for Cloud. Cette stratégie déploie une exportation vers Log Analytics configuration de l’espace de travail avec vos conditions et votre espace de travail cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation pour les alertes Microsoft Defender for Cloud | Activer l’automatisation des alertes Microsoft Defender for Cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender for Cloud recommendations | Activer l’automatisation des recommandations Microsoft Defender for Cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation pour Microsoft Defender for Cloud conformité réglementaire | Activer l’automatisation de Microsoft Defender for Cloud conformité réglementaire. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 5.0.1 |
| La notification par e-mail pour les alertes à gravité élevée doit être activée | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 1.2.0 |
| La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée | Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. | AuditIfNotExists, Désactivé | 2.1.0 |
| Enable Microsoft Defender for Cloud sur votre abonnement | Identifie les abonnements existants qui ne sont pas surveillés par Microsoft Defender for Cloud et les protègent avec les fonctionnalités gratuites de Defender for Cloud. Les abonnements faisant déjà l’objet d’un monitoring sont considérés comme conformes. Pour inscrire les abonnements venant d’être créés, ouvrez l’onglet de conformité, sélectionnez l’affectation non conforme appropriée, puis créez une tâche de correction. | deployIfNotExists | 1.0.1 |
| Autoriser Security Center à approvisionner automatiquement l’agent Log Analytics sur vos abonnements pour surveiller et collecter des données de sécurité à l’aide d’un espace de travail personnalisé. | DeployIfNotExists, Désactivé | 1.0.0 | |
| Enable Security Center provisionnement automatique de l'agent Log Analytics sur vos abonnements avec workspace. | Autoriser Security Center à approvisionner automatiquement l’agent Log Analytics sur vos abonnements pour surveiller et collecter des données de sécurité à l’aide de l’espace de travail par défaut ASC. | DeployIfNotExists, Désactivé | 1.0.0 |
| Activer la protection contre les menaces pour les charges de travail d’IA | Microsoft protection contre les menaces pour les charges de travail IA fournit des alertes de sécurité basées sur des preuves contextuelles destinées à protéger les applications basées sur l’IA générative cultivées à domicile | DeployIfNotExists, Désactivé | 1.0.0 |
| les comptes Guest disposant d’autorisations de propriétaire sur Azure ressources doivent être supprimés | Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| Comptesguest disposant d’autorisations de lecture sur Azure ressources doivent être supprimés | Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| les comptes Guest disposant d’autorisations d’écriture sur Azure ressources doivent être supprimés | Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. | AuditIfNotExists, Désactivé | 1.0.0 |
| L’extension Guest Configuration doit être installée sur vos machines | Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois installées, les stratégies in-guest sont disponibles, telles que « Windows Exploit Guard doit être activée ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Le transfert IP doit être désactivé sur votre machine virtuelle | L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes | Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ | Audit, désactivé | 1.0.2 |
| Log Analytics agent doit être installé sur vos instances de rôle Cloud Services (support étendu) | Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les machines doivent avoir des résultats du secret résolus | Audite les machines virtuelles pour détecter si elles contiennent des résultats de secrets provenant des solutions d’analyse des secrets sur vos machines virtuelles. | AuditIfNotExists, Désactivé | 1.0.2 |
| Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps | L’accès possible au réseau juste-à-temps (JIT) sera surveillé par Azure Security Center en tant que recommandations | AuditIfNotExists, Désactivé | 3.0.0 |
| Les ports de gestion doivent être fermés sur vos machines virtuelles | Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| Microsoft CSPM Defender doit être activé | Defender Cloud Security Posture Management (CSPM) fournit des fonctionnalités de posture améliorées et un nouveau graphique de sécurité cloud intelligent pour vous aider à identifier, hiérarchiser et réduire les risques. CSPM Defender est disponible en plus des fonctionnalités de sécurité de base gratuites activées par défaut dans Defender for Cloud. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les services d’IA doit être activé | Auditez pour voir si Microsoft Defender pour les services d’IA est activé sur l’abonnement. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les API doivent être activées | Microsoft Defender pour les API apporte une nouvelle couverture de détection, de protection, de détection et de réponse pour surveiller les attaques courantes basées sur les API et les mauvaises configurations de sécurité. | AuditIfNotExists, Désactivé | 1.0.3 |
| Microsoft Defender pour Azure Cosmos DB doit être activé | Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte des injections SQL potentielles, des acteurs malveillants connus basés sur Microsoft Renseignement sur les menaces, des modèles d’accès suspect et des exploitations potentielles de votre base de données via des identités compromises ou des insiders malveillants. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour les conteneurs doit être activé | Microsoft Defender pour conteneurs fournit des protections de renforcement, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés | Activez Defender pour SQL afin de protéger vos espaces de travail Synapse. Defender pour SQL surveille votre sql Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation de bases de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| Microsoft Defender pour le stockage doit être activé | Microsoft Defender stockage détecte les menaces potentielles pour vos comptes de stockage. Il permet d’éviter les trois impacts majeurs sur vos données et votre charge de travail : les chargements de fichiers malveillants, l’exfiltration de données sensibles et l’altération des données. La nouvelle Defender pour le plan de stockage inclut l’analyse des programmes malveillants et la détection des menaces de données sensibles. Ce plan fournit également une structure tarifaire prévisible (par compte de stockage) pour contrôler la couverture et les coûts. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau | Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. | AuditIfNotExists, Désactivé | 3.0.0 |
| Role-Based Access Control (RBAC) doit être utilisé sur Kubernetes Services | Pour fournir un filtrage granulaire sur les actions que les utilisateurs peuvent effectuer, utilisez Role-Based Access Control (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurer des stratégies d’autorisation pertinentes. | Audit, désactivé | 1.1.0 |
| Le niveau tarifaire standard Security Center doit être sélectionné | Le niveau tarifaire standard permet la détection des menaces pour les réseaux et les machines virtuelles, en fournissant des informations sur les menaces, la détection des anomalies et l’analytique du comportement dans Azure Security Center | Audit, désactivé | 1.1.0 |
| Configurer des abonnements pour passer à une autre solution d'évaluation des vulnérabilités | Microsoft Defender pour le cloud offre une analyse des vulnérabilités pour vos machines sans coût supplémentaire. L’activation de cette stratégie entraîne Defender for Cloud propager automatiquement les résultats de la solution de gestion des vulnérabilités intégrée Microsoft Defender à toutes les machines prises en charge. | DeployIfNotExists, Désactivé | 1.0.0-preview |
| Les résultats des vulnérabilités des bases de données SQL doivent être résolus | Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. | AuditIfNotExists, Désactivé | 4.1.0 |
| L’approvisionnement automatique ciblé sur le serveur SQL doit être activé pour les serveurs SQL sur le plan des machines | Pour vous assurer que vos machines virtuelles SQL et vos serveurs SQL avec Arc sont protégés, vérifiez que l’agent de supervision Azure ciblé par SQL est configuré pour le déploiement automatique. Cela est également nécessaire si vous avez précédemment configuré l'approvisionnement automatique du Microsoft Monitoring Agent, car ce composant est déprécié. En savoir plus : https://aka.ms/SQLAMAMigration | AuditIfNotExists, Désactivé | 1.0.0 |
| Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus | L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. | AuditIfNotExists, Désactivé | 1.0.0 |
| les sous-réseaux doivent être associés à un groupe de sécurité réseau | Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les groupes de sécurité réseau contiennent une liste de règles de liste de Access Control (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité | Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) | Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. | AuditIfNotExists, Désactivé | 1.0.1 |
| Plusieurs propriétaires doivent être attribués à votre abonnement | Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. | AuditIfNotExists, Désactivé | 3.0.0 |
| L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système | L’extension Guest Configuration requiert une identité managée affectée par le système. Azure machines virtuelles dans l’étendue de cette stratégie ne sont pas conformes quand l’extension Guest Configuration est installée, mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol | AuditIfNotExists, Désactivé | 1.0.1 |
Étapes suivantes
Dans cet article, vous avez découvert Azure Policy définitions de stratégie de sécurité dans Defender for Cloud. Pour en savoir plus sur les initiatives, les stratégies et leur relation avec les recommandations de Defender for Cloud, consultez Quelles sont les stratégies de sécurité, les initiatives et les recommandations ?.