Définitions de stratégie Azure Policy intégrées

Cette page est un index de définitions de stratégie intégrées Azure Policy.

Le nom de chaque définition intégrée est un lien vers la définition de stratégie dans le portail Azure. Utilisez le lien de la colonne Source pour voir la source dans le dépôt GitHub Azure Policy. Les définitions intégrées sont regroupées par la propriété category dans metadata. Pour accéder à une catégorie spécifique, utilisez le menu sur le côté droit de la page. Autrement, utilisez Ctrl-F pour utiliser la fonctionnalité de recherche de votre navigateur.

API pour FHIR

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
API Azure pour FHIR doit utiliser une clé gérée par le client pour chiffrer les données au repos Utilisez une clé gérée par le client pour contrôler le chiffrement au repos des données stockées dans API Azure pour FHIR lorsqu’il s’agit d’une exigence réglementaire ou de conformité. Les clés gérées par le client fournissent également un double chiffrement en ajoutant une deuxième couche de chiffrement en plus du chiffrement par défaut effectué avec les clés gérées par le service. audit, Audit, désactivé, Désactivé 1.1.0
API Azure pour FHIR doit utiliser une liaison privée API Azure pour FHIR doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/fhir-privatelink. Audit, Désactivé 1.0.0
CORS ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre API pour FHIR. Pour protéger votre API pour FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. audit, Audit, désactivé, Désactivé 1.1.0

Gestion des API

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les API de Gestion des API doivent utiliser uniquement des protocoles chiffrés Les API doivent utiliser des protocoles chiffrés. Les API ne doivent pas utiliser des protocoles non chiffrés tels que HTTP ou WS. Audit, Désactivé, Refus 2.0.1
Les appels de Gestion des API aux back-ends d’API doivent être authentifiés Les appels de Gestion des API vers des back-ends doivent utiliser une forme d’authentification, par le biais de certificats ou d’informations d’identification. Ne s’applique pas aux back-ends Service Fabric. Audit, Désactivé, Refus 1.0.1
Les appels de Gestion des API aux back-ends d’API ne doivent pas contourner l’empreinte numérique du certificat ou la validation du nom Les appels de Gestion des API aux back-ends d’API doivent valider l’empreinte numérique du certificat et le nom du certificat. Audit, Désactivé, Refus 1.0.1
Le point de terminaison direct Gestion des API ne doit pas être activé Azure Gestion des API fournit une API REST de gestion directe, qui peut contourner certaines limites de l’API basée sur Azure Resource Manager et ne doit pas être activée par défaut. Audit, Désactivé, Refus 1.0.1
La version minimale de Gestion des API doit être définie le 01/12/2019 ou une version ultérieure. Pour empêcher le partage des secrets de service avec des utilisateurs en lecture seule, la version d’API minimale doit être définie sur 01/12/2019 ou une version ultérieure. Audit, Refuser, Désactivé 1.0.1
Les secrets des valeurs nommées Gestion des API doivent être stockés dans Azure KeyVault Les secrets référencés dans les valeurs nommées doivent stocker les valeurs dans Azure KeyVault plutôt que dans le magasin de valeurs nommées. Audit, Désactivé, Refus 1.0.1
Le service Gestion des API doit utiliser une référence SKU qui prend en charge les réseaux virtuels Avec les références SKU prises en charge pour la gestion des API, le déploiement de service dans un réseau virtuel déverrouille les fonctionnalités de sécurité et de mise en réseau avancées de la gestion des API, ce qui vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/apimvnet. Audit, Refuser, Désactivé 1.0.0
Les services de gestion des API doivent désactiver l’accès réseau public Pour améliorer la sécurité des services de gestion des API, vérifiez que les points de terminaison ne sont pas exposés à l’Internet public. Certains points de terminaison publics sont exposés par les services de gestion des API afin de prendre en charge les scénarios utilisateur comme l’accès direct à l’API de gestion, la gestion de la configuration à l’aide de Git ou la configuration des passerelles autohébergées. Si l’une de ces fonctionnalités n’est pas utilisée, les points de terminaison correspondants doivent être désactivés. AuditIfNotExists, Désactivé 1.0.0
Les services Gestion des API doivent utiliser un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et une isolation, et vous permet de placer votre service Gestion des API dans un réseau routable non-Internet auquel vous contrôlez l’accès. Ces réseaux peuvent ensuite être connectés à vos réseaux locaux à l’aide de différentes technologies VPN, ce qui permet d’accéder à vos services back-end au sein du réseau et/ou localement. Le portail des développeurs et la passerelle API peuvent être configurés pour être accessibles depuis Internet ou uniquement au sein du réseau virtuel. Audit, Désactivé 1.0.1
Les abonnements Gestion des API ne doivent pas être inclus dans l’étendue Toutes les API. Les abonnements Gestion des API doivent être étendus au produit ou à l’API individuelle au lieu de toutes les API, ce qui peut exposer toutes les API de l’instance Gestion des API. Audit, Désactivé, Refus 1.0.0
Configurer les services de gestion des API pour désactiver l’accès au réseau public Pour améliorer la sécurité des services de gestion des API, désactivez les points de terminaison publics. Certains points de terminaison publics sont exposés par les services de gestion des API afin de prendre en charge les scénarios utilisateur comme l’accès direct à l’API de gestion, la gestion de la configuration à l’aide de Git ou la configuration des passerelles autohébergées. Si l’une de ces fonctionnalités n’est pas utilisée, les points de terminaison correspondants doivent être désactivés. DeployIfNotExists, Désactivé 1.0.0

App Configuration

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
App Configuration doit désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Audit, Refuser, Désactivé 1.0.0
App Configuration doit utiliser une clé gérée par le client Les clés gérées par le client offrent une protection améliorée des données en vous permettant de gérer vos clés de chiffrement. Cela est souvent nécessaire pour répondre aux exigences de conformité. Audit, Refuser, Désactivé 1.1.0
App Configuration doit utiliser une référence SKU qui prend en charge la liaison privée Lorsque vous utilisez une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Audit, Refuser, Désactivé 1.0.0
App Configuration doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos instances de configuration d’application plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Désactivé 1.0.2
Les méthodes d’authentification locales doivent être désactivées pour les magasins App Configuration La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les magasins App Configuration nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. Audit, Refuser, Désactivé 1.0.0
Configurer les magasins App Configuration pour désactiver les méthodes d’authentification locales Désactivez les méthodes d’authentification locales de sorte que vos magasins App Configuration nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2161954. Modifier, Désactivé 1.0.0
Configurer App Configuration pour désactiver l’accès réseau public Désactivez l’accès réseau public pour App Configuration afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. Modifier, Désactivé 1.0.0
Configurer des zones DNS privées pour les points de terminaison privés connectés à App Configuration Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour résoudre des instances App Configuration. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Désactivé 1.0.0
Configurer des points de terminaison privés pour App Configuration Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances de configuration d’application, vous réduisez les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/appconfig/private-endpoint. DeployIfNotExists, Désactivé 1.0.0

Plateforme d’application

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Auditer les instances Azure Spring Cloud où le suivi distribué n’est pas activé Dans Azure Spring Cloud, les outils de suivi distribué permettent de déboguer et de superviser les interconnexions complexes entre les microservices dans une application. Ces outils doivent être activés et dans un état d’intégrité normal. Audit, Désactivé 1.0.0-preview
Azure Spring Cloud doit utiliser l’injection de réseau Les instances Azure Spring Cloud doivent utiliser l’injection de réseau virtuel pour les motifs suivants : 1. Isoler Azure Spring Cloud d’Internet. 2. Permettre à Azure Spring Cloud d’interagir avec des systèmes de centres de données locaux ou des services Azure d’autres réseaux virtuels. 3. Permettre aux clients de contrôler les communications réseau entrantes et sortantes pour Azure Spring Cloud. Audit, Désactivé, Refus 1.1.0

App Service

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les emplacements d’application App Service doivent être injectés dans un réseau virtuel L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Refuser, Désactivé 1.0.0
Les emplacements de l’application App Service doivent désactiver l'accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les emplacements des applications App Service doivent activer le trafic sortant non RFC 1918 vers Réseau virtuel Azure Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent avoir l’option "Certificats clients (certificats clients entrants)" activée Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Audit, Désactivé 1.0.0
Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP La désactivation des méthodes d’authentification locale améliore la sécurité en garantissant que les emplacements App Service exigeront exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.1
Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM La désactivation des méthodes d’authentification locale améliore la sécurité en garantissant que les emplacements App Service exigeront exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.2
Le débogage à distance doit être désactivé pour les emplacements des applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressource doivent être activés pour les emplacements des applications App Service Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 1.0.0
Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent être accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 2.0.0
Les emplacements d’application App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application App Service doivent utiliser un partage de fichiers Azure pour son répertoire de contenu Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications App Service doivent utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent être injectées dans un réseau virtuel L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. Audit, Refuser, Désactivé 3.0.0
Les applications App Service doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les applications App Service doivent activer le trafic sortant non-RFC 1918 vers Azure Réseau virtuel Par défaut, si vous utilisez l’intégration Réseau virtuel Azure (VNET) régionale, l’application route uniquement le trafic RFC1918 vers ce réseau virtuel respectif. L’utilisation de l’API pour définir « vnetRouteAllEnabled » sur true autorise tout le trafic sortant vers le réseau virtuel Azure. Ce paramètre permet d’utiliser des fonctionnalités comme les groupes de sécurité réseau et les routes définies par l’utilisateur pour tout le trafic sortant de l’application App Service. AuditIfNotExists, Désactivé 1.0.0
Les applications App Service doivent avoir « Certificats clients (certificats clients entrants) » activés Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Audit, Désactivé 3.0.0
L’authentification doit être activée pour les applications App Service L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application web ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application web. AuditIfNotExists, Désactivé 2.0.1
Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP La désactivation des méthodes d’authentification locale améliore la sécurité en garantissant qu’App Service exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.1
Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM La désactivation des méthodes d’authentification locale améliore la sécurité en garantissant qu’App Service exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. AuditIfNotExists, Désactivé 1.0.1
Le débogage à distance doit être désactivé pour les applications App Service Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent avoir activé les journaux des ressources Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 2.0.1
Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. AuditIfNotExists, Désactivé 2.0.0
Les applications App Service doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 4.0.0
Les applications App Service doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée Avec une référence SKU prise en charge, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. Audit, Refuser, Désactivé 4.0.1
Les applications App Service doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 3.0.0
Les applications App Service doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications App Service doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les applications App Service doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. AuditIfNotExists, Désactivé 1.0.1
Les applications App Service doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les applications App Service qui utilisent Java doivent utiliser la dernière « version Java » Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version la plus récente de Java pour les applications web est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Actuellement, cette stratégie s’applique uniquement aux applications Linux. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service qui utilisent PHP doivent utiliser la dernière « version PHP » Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Actuellement, cette stratégie s’applique uniquement aux applications Linux. AuditIfNotExists, Désactivé 3.0.0
Les applications App Service qui utilisent Python doivent utiliser la dernière « version Python » Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. AuditIfNotExists, Désactivé 4.0.0
Les applications App Service Environment ne doivent pas être accessibles via Internet public Pour garantir que les applications déployées dans App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans le réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, App Service Environment doit être déployé avec un équilibreur de charge interne. Audit, Refuser, Désactivé 3.0.0
App Service Environment doit être configuré avec les suites de chiffrement TLS les plus fortes Les deux suites de chiffrement minimales les plus fortes requises pour App Service Environment sont les suivantes : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. Audit, Désactivé 1.0.0
App Service Environment doit être approvisionné avec les dernières versions Autorisez uniquement la configuration d’App Service Environment version 2 ou 3. Les versions antérieures d’App Service Environment nécessitent une gestion manuelle des ressources Azure et présentent des limitations de mise à l’échelle accrues. Audit, Refuser, Désactivé 1.0.0
App Service Environment doit avoir le chiffrement interne activé Affecter la valeur true à InternalEncryption permet de chiffrer le fichier d’échange, les disques des Workers et le trafic réseau interne entre les front-ends et les Workers dans App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Désactivé 1.0.1
App Service Environment doit avoir TLS 1.0 et 1.1 désactivés Les protocoles TLS 1.0 et 1.1 sont des protocoles obsolètes qui ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans App Service Environment. Audit, Refuser, Désactivé 2.0.1
Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP Désactivez les méthodes d’authentification locale pour les déploiements FTP afin que vos emplacements App Services exigent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.1
Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM Désactivez les méthodes d’authentification locale pour les sites SCM afin que vos emplacements App Services exigent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.1
Configurer les emplacements des applications App Services pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.0.0
Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les emplacements des applications App Service pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP Désactivez les méthodes d’authentification locale pour les déploiements FTP afin que vos instances App Services exigent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.1
Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM Désactivez les méthodes d’authentification locale pour les sites SCM afin que vos instances App Services exigent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-disable-basic-auth. DeployIfNotExists, Désactivé 1.0.1
Configurer les applications App Services pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.0.0
Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les applications App Service pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications App Service pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée lie un réseau virtuel à App Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. DeployIfNotExists, Désactivé 1.0.1
Configurer les applications App Service pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.1
Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.0.0
Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer les emplacements des applications de fonction pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications de fonction pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour vos applications de fonction afin qu’il ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Modifier, Désactivé 1.0.0
Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Modifier, Désactivé 2.0.0
Configurer des applications de fonction pour désactiver le débogage à distance Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. DeployIfNotExists, Désactivé 1.0.0
Configurer les applications de fonction pour utiliser la dernière version de TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. DeployIfNotExists, Désactivé 1.0.1
Les emplacements des applications de fonction doivent désactiver l'accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les emplacements d’application de fonction doivent avoir l’option "Certificats clients (certificats clients entrants)" activée Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Audit, Désactivé 1.0.0
Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 2.0.0
Les emplacements d’application de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 1.0.0
Les emplacements d’application de fonction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 1.0.0
Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les emplacements des applications de fonction doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 1.0.0
Les applications de fonction doivent désactiver l'accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/app-service-private-endpoint. Audit, Désactivé, Refus 1.0.0
Les applications de fonction doivent avoir l’option « Certificats clients (certificats clients entrants) » activée Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant de certificats valides peuvent accéder à l’application. Audit, Désactivé 3.0.0
L’authentification doit être activée pour les applications de fonction L’authentification Azure App Service est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’accéder à l’application de fonction ou authentifier celles ayant des jetons avant qu’elles n’accèdent à l’application de fonction. AuditIfNotExists, Désactivé 3.0.0
Le débogage à distance doit être désactivé pour les applications de fonctions Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. AuditIfNotExists, Désactivé 2.0.0
Les applications de fonctions ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d'accéder à vos applications Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. AuditIfNotExists, Désactivé 2.0.0
Les applications Function App ne doivent être accessibles que via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Audit, Désactivé, Refus 5.0.0
Les applications de fonction doivent exiger FTPS uniquement Activer la mise en œuvre de FTPS pour renforcer la sécurité. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonction doivent utiliser un partage de fichiers Azure pour leur répertoire de contenu Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation d’Azure Files pour héberger du contenu App Service, consultez https://go.microsoft.com/fwlink/?linkid=2151594. Audit, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière « version HTTP » Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 4.0.0
Les applications de fonction doivent utiliser une identité managée Utiliser une identité managée pour renforcer la sécurité de l’authentification AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions doivent utiliser la dernière version TLS Régulièrement, de nouvelles versions sont publiées pour TLS, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. AuditIfNotExists, Désactivé 2.0.1
Les applications de fonctions qui utilisent Java doivent utiliser la dernière « version Java » Régulièrement, de nouvelles versions sont publiées pour le logiciel Java, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Java pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Actuellement, cette stratégie s’applique uniquement aux applications Linux. AuditIfNotExists, Désactivé 3.0.0
Les applications de fonctions qui utilisent Python doivent utiliser la dernière « version Python » Régulièrement, de nouvelles versions sont publiées pour le logiciel Python, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de Python pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux, car Python n’est pas pris en charge sur les applications Windows. AuditIfNotExists, Désactivé 4.0.0

Attestation

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les fournisseurs Azure Attestation doivent désactiver l’accès réseau public Pour améliorer la sécurité de la ressource Azure Attestation Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans aka.ms/azureattestation. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Les fournisseurs Azure Attestation doivent utiliser des points de terminaison privés Les points de terminaison privés permettent de connecter les fournisseurs Azure Attestation à vos ressources Azure sans envoyer de trafic sur l’Internet public. En empêchant l’accès public, les points de terminaison privés aident à se prémunir contre les accès anonymes indésirables. AuditIfNotExists, Désactivé 1.0.0

Automanage

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des machines virtuelles à intégrer à Azure Automanage Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage à l’étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 2.3.0
Configurer les machines virtuelles à intégrer à Azure Automanage avec un profil de configuration personnalisé Azure Automanage inscrit, configure et surveille les machines virtuelles selon les meilleures pratiques définies dans le Cloud Adoption Framework de Microsoft pour Azure. Utilisez cette stratégie pour appliquer Automanage avec votre propre profil de configuration personnalisé à votre étendue sélectionnée. AuditIfNotExists, DeployIfNotExists, Désactivé 1.3.0
Hotpatch doit être activé pour les machines virtuelles Windows Server Azure Edition Réduisez les redémarrages et installez rapidement les mises à jour avec les mises à jour correctives à chaud. Pour en savoir plus, voir https://docs.microsoft.com/azure/automanage/automanage-hotpatch Audit, Refuser, Désactivé 1.0.0

Automatisation

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le compte Automation doit avoir une identité managée Utilisez les identités managées comme méthode recommandée pour l’authentification auprès des ressources Azure à partir des runbooks. L’identité managée pour l’authentification est plus sécurisée et élimine la surcharge de gestion associée à l’utilisation du compte d’identification dans votre code de runbook. Audit, Désactivé 1.0.0
Les variables de compte Automation doivent être chiffrées Il est important d’activer le chiffrement des ressources variables du compte Automation lors du stockage de données sensibles Audit, Refuser, Désactivé 1.1.0
Les comptes Automation doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition des ressources de votre compte Automation en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/automation/how-to/private-link-security. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour le compte Azure Automation La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Automation doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos comptes Azure Automation. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/automation-cmk. Audit, Refuser, Désactivé 1.0.0
Configurer le compte Azure Automation pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos comptes Azure Automation imposent exclusivement des identités Azure Active Directory pour l’authentification. Modifier, Désactivé 1.0.0
Configurer des comptes Azure Automation pour désactiver l'accès réseau public Désactivez l’accès réseau public pour le compte Azure Automation afin qu’il ne soit pas accessible via l’Internet public. Cette configuration vous aidera à le protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0
Configurer des comptes Azure Automation avec des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Vous avez besoin d’une zone DNS privée correctement configurée pour vous connecter à un compte Azure Automation compte via Azure Private Link. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer des connexions de point de terminaison privé sur des comptes Azure Automation Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Azure Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security. DeployIfNotExists, Désactivé 1.0.0
Les connexions de point de terminaison privé sur les comptes Automation doivent être activées Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Automation sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Azure Automation sur https://docs.microsoft.com/azure/automation/how-to/private-link-security AuditIfNotExists, Désactivé 1.0.0

Azure Active Directory

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les domaines gérés par Azure Active Directory Domain Services doivent utiliser le mode TLS 1.2 uniquement Utilisez le mode TLS 1.2 uniquement pour vos domaines gérés. Par défaut, Azure AD Domain Services permet d’utiliser des méthodes de chiffrement comme NTLM v1 et TLS v1. Certaines applications héritées peuvent avoir besoin de ces chiffrements, mais étant considérés comme faibles, vous pouvez les désactiver si vous n’en avez pas l’utilité. Quand le mode TLS 1.2 uniquement est activé, les clients effectuant une demande qui n’utilise pas TLS 1.2 échouent. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. Audit, Refuser, Désactivé 1.1.0
Azure Active Directory doit utiliser une liaison privée pour accéder aux services Azure Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure AD, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateLinkforAzureADDocs. Il doit être utilisé uniquement à partir de réseaux virtuels isolés vers des services Azure, sans accès à Internet ou à d’autres services (M365). AuditIfNotExists, Désactivé 1.0.0
Configurer Private Link pour Azure AD afin d’utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre sur Azure AD. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateLinkforAzureADDocs. DeployIfNotExists, Désactivé 1.0.0
Configurer Private Link pour Azure AD avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure AD, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateLinkforAzureADDocs. Il doit être utilisé uniquement à partir de réseaux virtuels isolés vers des services Azure, sans accès à Internet ou à d’autres services (M365). DeployIfNotExists, Désactivé 1.0.0

Azure Arc

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les étendues de liaison privée Azure Arc doivent être configurées avec un point de terminaison privé Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux étendues de liaison privée Azure Arc, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Désactivé 1.0.0
Les étendues de liaison privée Azure Arc doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Azure Arc ne peuvent pas se connecter via l’Internet public. La création de points de terminaison privés peut limiter l’exposition de vos ressources Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Les clusters Kubernetes prenant en charge Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Les serveurs Azure Arc doivent être configurés avec une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Audit, Refuser, Désactivé 1.0.0
Configurer les étendues de liaison privée Azure Arc pour désactiver l’accès au réseau public Désactivez l’accès réseau public pour votre étendue de liaison privée Azure ARC afin que les ressources Azure Arc associées ne puissent pas se connecter aux services Azure Arc via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer les étendues Azure Arc Private Link pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour une résolution en étendues Private Link Azure Arc. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/arc/privatelink. DeployIfNotExists, Désactivé 1.2.0
Configurer des étendues de liaison privée Azure Arc avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée Azure Arc, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. DeployIfNotExists, Désactivé 2.0.0
Configurer des clusters Kubernetes prenant en charge Azure Arc pour utiliser une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0
Configurer des serveurs Azure Arc pour utiliser une étendue de liaison privée Azure Arc Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les serveurs Azure arc à une étendue de liaison privée Azure Arc configurée avec un point de terminaison privé, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/arc/privatelink. Modifier, Désactivé 1.0.0

Explorateur de données Azure

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le chiffrement au repos Azure Data Explorer doit utiliser une clé gérée par le client Le fait d’activer le chiffrement au repos à l’aide d’une clé gérée par le client dans votre cluster Azure Data Explorer vous offre un contrôle supplémentaire sur cette clé. Cette fonctionnalité est souvent utilisée par les clients qui ont des exigences particulières au niveau de la conformité. Par ailleurs, elle nécessite un coffre de clés pour la gestion des clés. Audit, Refuser, Désactivé 1.0.0
Le chiffrement de disque doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement de disque vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Audit, Refuser, Désactivé 2.0.0
Le chiffrement double doit être activé dans Azure Data Explorer Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 2.0.0
L’injection de réseau virtuel doit être activée dans Azure Data Explorer Sécurisez votre périmètre réseau à l’aide de l’injection de réseau virtuel qui vous permet d’appliquer des règles de groupe de sécurité réseau, de vous connecter localement et de sécuriser vos sources de connexion de données avec des points de terminaison de service. Audit, Refuser, Désactivé 1.0.0

Azure Databricks

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les espaces de travail Azure Databricks doivent désactiver l’accès au réseau public Les espaces de travail Azure Databricks doivent avoir un accès réseau public désactivé. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject Audit, Refuser, Désactivé 1.0.0

Azure Edge Hardware Center

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La prise en charge du double chiffrement doit être activée pour les appareils Azure Edge Hardware Center Assurez-vous que la prise en charge du double chiffrement est activée pour les appareils commandés à partir d’Azure Edge Hardware Center, afin de sécuriser les données au repos sur l’appareil. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 2.0.0

Azure Load Testing

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La ressource de test de charge Azure doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos de votre ressource Test de charge Azure. Par défaut, le chiffrement est effectué à l’aide de clés gérées par le service. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. Audit, Refuser, Désactivé 1.0.0

Azure Purview

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Purview doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos comptes Azure Purview plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/purview-private-link. Audit, Désactivé 1.0.0

Azure Stack Edge

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les appareils Azure Stack Edge doivent utiliser le chiffrement double Pour sécuriser les données au repos sur l’appareil, vérifiez qu’elles sont chiffrées doublement, que l’accès aux données est contrôlé et une fois que l’appareil est désactivé, que les données sont effacées de façon sécurisée des disques de données. Le chiffrement double correspond à l’utilisation de deux couches de chiffrement : Chiffrement BitLocker XTS-AES 256 bits sur les volumes de données et chiffrement intégré des disques durs. Pour plus d’informations, consultez la documentation de présentation de la sécurité de l’appareil Azure Stack Edge. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0

Sauvegarde

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Les coffres Azure Recovery Services doivent utiliser des clés gérées par le client pour chiffrer les données de sauvegarde Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos données de sauvegarde. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/AB-CmkEncryption. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les coffres Azure Recovery Services doivent utiliser une liaison privée pour la sauvegarde Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/AB-PrivateEndpoints. Audit, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer la sauvegarde des blobs sur les comptes de stockage avec une balise donnée dans un coffre de sauvegarde existant dans la même région Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui contiennent une balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Préversion] : [Préversion] : Configurer la sauvegarde d’objets blob pour tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde dans la même région Appliquez la sauvegarde des blobs sur tous les comptes de stockage qui ne contiennent pas de balise donnée dans un coffre de sauvegarde central. Cela peut vous aider à gérer la sauvegarde de blobs contenus dans plusieurs comptes de stockage à grande échelle. Pour plus de détails, voir https://aka.ms/AB-BlobBackupAzPolicies DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0-preview
[Préversion] : [Préversion] : Configurer des coffres Recovery Services afin d’utiliser des zones DNS privées pour la sauvegarde Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour votre coffre Recovery Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/AB-PrivateEndpoints. DeployIfNotExists, Désactivé 1.0.1-preview
[Préversion] : [Préversion] : Configurer des coffres Recovery Services afin d’utiliser des points de terminaison privés pour la sauvegarde Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Notez que vos coffres doivent répondre à certaines conditions préalables pour être éligibles pour une configuration de point de terminaison privé. Plus d’informations, consultez : https://go.microsoft.com/fwlink/?linkid=2187162. DeployIfNotExists, Désactivé 1.0.0-preview
La sauvegarde Azure doit être activée pour les machines virtuelles Assurez la protection de vos machines virtuelles Azure en activant la sauvegarde Azure. La Sauvegarde Azure est une solution de protection des données sécurisée et économique pour Azure. AuditIfNotExists, Désactivé 3.0.0
Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurer une sauvegarde sur des machines virtuelles avec une étiquette donnée dans un coffre Recovery Services existant au même emplacement Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement inclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupIncludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un nouveau coffre Recovery Services avec une stratégie par défaut Appliquez la sauvegarde de toutes les machines virtuelles en déployant un coffre Recovery Services dans les mêmes emplacement et groupe de ressources que la machine virtuelle. Cela est utile quand différentes équipes d’application de votre organisation se voient allouer des groupes de ressources distincts et doivent gérer leurs propres sauvegardes et restaurations. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMAppCentricBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Configurer une sauvegarde sur des machines virtuelles sans une étiquette donnée dans un coffre Recovery Services existant au même emplacement Appliquez la sauvegarde de toutes les machines virtuelles en les sauvegardant dans un coffre Recovery Services central dans les mêmes emplacement et abonnement que la machine virtuelle. Cela est utile quand une équipe centrale de votre organisation gère les sauvegardes pour toutes les ressources d’un abonnement. Vous pouvez éventuellement exclure des machines virtuelles contenant une balise spécifiée pour contrôler l’étendue de l’attribution. Consultez https://aka.ms/AzureVMCentralBackupExcludeTag. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 9.0.0
Déployez les paramètres de diagnostic du coffre Recovery Services sur l’espace de travail Log Analytics pour les catégories propres à une ressource. Déployez les paramètres de diagnostic du coffre Recovery Services afin de les envoyer vers l’espace de travail Log Analytics pour les catégories propres à une ressource. Si l’une des catégories propres à la ressource n’est pas activée, un nouveau paramètre de diagnostic est créé. deployIfNotExists 1.0.2

Batch

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le compte Azure Batch doit utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de votre compte Batch. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/Batch-CMK. Audit, Refuser, Désactivé 1.0.1
Le chiffrement de disque doit être activé sur les pools de Azure Batch L’activation de Azure Batch le chiffrement de disque garantit que les données sont toujours chiffrées au repos sur votre nœud de calcul Azure Batch. En savoir plus sur le chiffrement de disque dans Batch à https://docs.microsoft.com/azure/batch/disk-encryption. Audit, Désactivé, Refus 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Batch La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. Audit, Refuser, Désactivé 1.0.0
Configurer des comptes batch pour désactiver l’authentification locale Désactivez les méthodes d’authentification d’emplacement de sorte que vos comptes Batch nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/batch/auth. Modifier, Désactivé 1.0.0
Configurer les comptes Batch pour désactiver l'accès au réseau public Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. Modifier, Désactivé 1.0.0
Configurer des comptes Batch avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des comptes Batch, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Désactivé 1.0.0
Déployer - Configurer des zones DNS privées pour les points de terminaison privés qui se connectent aux comptes Batch Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Batch, consultez https://docs.microsoft.com/azure/batch/private-connectivity. DeployIfNotExists, Désactivé 1.0.0
Des règles d’alerte de métrique doivent être configurées sur les comptes Batch Auditez la configuration des règles d’alerte de métrique sur le compte Batch pour activer la métrique requise. AuditIfNotExists, Désactivé 1.0.0
Les connexions de point de terminaison privé sur les comptes Batch doivent être activées Les connexions de point de terminaison privé permettent une communication sécurisée en permettant la connectivité privée aux comptes Batch sans nécessiter d’adresses IP publiques à la source ou à la destination. Découvrez-en davantage sur les points de terminaison privés dans Batch sur https://docs.microsoft.com/azure/batch/private-connectivity. AuditIfNotExists, Désactivé 1.0.0
L’accès au réseau public doit être désactivé pour les comptes Batch Le fait de désactiver l’accès au réseau public sur un compte Batch permet d’améliorer la sécurité, car votre compte Batch n’est accessible qu’à partir d’un point de terminaison privé. Apprenez-en davantage sur la désactivation de l’accès au réseau public à la page https://docs.microsoft.com/azure/batch/private-connectivity. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans les comptes Batch doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Bot Service

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le point de terminaison du service bot doit être un URI HTTPS valide Les données peuvent être falsifiées pendant la transmission. Certains protocoles chiffrent les données pour résoudre les problèmes d’utilisation abusive et de falsification. Pour veiller à ce que vos bots communiquent uniquement sur des canaux chiffrés, définissez le point de terminaison sur un URI HTTPS valide. Ainsi, le protocole HTTPS est utilisé pour chiffrer vos données en transit, ce qui constitue souvent une exigence à des fins de conformité aux normes réglementaires ou du secteur. Consultez : https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Bot Service doit être chiffré avec une clé gérée par le client Azure Bot Service chiffre automatiquement votre ressource pour protéger vos données et satisfaire aux engagements de sécurité et de conformité de l’organisation. Par défaut, les clés de chiffrement gérées par Microsoft sont utilisées. Pour une plus grande flexibilité dans la gestion des clés ou le contrôle de l’accès à votre abonnement, sélectionnez des clés gérées par le client, option également appelée Bring Your Own Key (BYOK). En savoir plus sur le chiffrement Azure Bot Service : https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le mode isolé doit être activé pour le service bot Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Bot Service doit avoir les méthodes d’authentification locales désactivées La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’un bot utilise exclusivement AAD pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Bot Service doit avoir l’accès réseau public désactivé Les robots doivent être définis en mode « isolé uniquement ». Ce paramètre configure les canaux Bot Service qui nécessitent la désactivation du trafic sur l’Internet public. Audit, Refuser, Désactivé 1.0.0
Les ressources BotService doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. Le mappage de points de terminaison privés à votre ressource BotService réduit les risques de fuite de données. Audit, Désactivé 1.0.0
Configurer les ressources BotService pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en ressources associées BotService. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer les ressources BotService avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. Le mappage de points de terminaison privés à votre ressource BotService peut réduire les risques de fuite de données. DeployIfNotExists, Désactivé 1.0.0

Cache

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure Cache pour Redis doit désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’Azure Cache pour Redis ne soit pas exposé sur l’Internet public. Vous pouvez limiter l’exposition d’Azure Cache pour Redis en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. Audit, Refuser, Désactivé 1.0.0
Azure Cache pour Redis doit utiliser une liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos instances Azure Cache pour Redis, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure Cache pour Redis pour désactiver l’accès réseau public Désactivez l’accès réseau public pour votre ressource Azure Cache pour Redis afin qu’elle ne soit pas accessible via l’Internet public. Cela permet de protéger le cache contre les risques de fuite de données. Modifier, Désactivé 1.0.0
Configurer Azure Cache pour Redis pour utiliser les zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée peut être liée à votre réseau virtuel pour être résolue en instance Azure Cache pour Redis. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Cache pour Redis avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Cache pour Redis, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/redis/privateendpoint. DeployIfNotExists, Désactivé 1.0.0
Seules les connexions sécurisées à votre instance Azure Cache pour Redis doivent être activées Auditer l’activation des connexions établies uniquement par le biais de SSL au cache Azure pour Redis. L'utilisation de connexions sécurisées garantit l'authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l'intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session). Audit, Refuser, Désactivé 1.0.0

CDN

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les profils Azure Front Door doivent utiliser le niveau Premium qui prend en charge les règles WAF managées et la liaison privée Azure Front Door Premium prend en charge les règles WAF managées Azure et la liaison privée aux origines Azure prises en charge. Audit, Refuser, Désactivé 1.0.0
Azure Front Door Standard et Premium doivent exécuter au minimum la version 1.2 de TLS La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que vos domaines personnalisés ne sont accessibles qu’à partir des clients utilisant TLS 1.2 ou une version plus récente. L’utilisation de versions de TLS antérieures à 1.2 n’est pas recommandée, car elles sont moins performantes et ne prennent pas en charge les algorithmes de chiffrement modernes. Audit, Refuser, Désactivé 1.0.0
Sécuriser la connectivité privée entre Azure Front Door Premium et Stockage Blob Azure ou Azure App Service La liaison privée garantit une connectivité privée entre AFD Premium et Azure Storage Blob ou Azure App Service sur le réseau principal Azure, sans que Azure Storage Blob ou Azure App Service soit exposé publiquement à Internet. Audit, Désactivé 1.0.0

Cognitive Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Cognitive Services doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que le compte Cognitive Services ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des comptes Cognitive Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Refuser, Désactivé 3.0.0
Les comptes Cognitive Services doivent activer le chiffrement des données avec une clé gérée par le client Des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données stockées dans Cognitive Services avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. En savoir plus sur les clés gérées par le client sur https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Refuser, Désactivé 2.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Cognitive Services La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/cs/auth. Audit, Refuser, Désactivé 1.0.0
Les comptes Cognitive Services doivent limiter l’accès réseau L’accès réseau aux comptes Cognitive Services doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte Cognitive Services. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 3.0.0
Les comptes Cognitive Services doivent utiliser une identité managée L’attribution d’une identité gérée à votre compte Cognitive Services permet de garantir une authentification sécurisée. Cette identité est utilisée par ce compte Cognitive Services pour communiquer avec d’autres services Azure, comme Azure Key Vault, de manière sécurisée et sans que vous ayez à gérer des informations d’identification. Audit, Refuser, Désactivé 1.0.0
Les comptes Cognitive Services doivent utiliser le stockage appartenant au client Utilisez le stockage appartenant au client pour contrôler les données stockées au repos dans Cognitive Services. Pour en savoir plus sur le stockage appartenant au client, visitez https://aka.ms/cogsvc-cmk. Audit, Refuser, Désactivé 2.0.0
Les services Cognitive Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Désactivé 3.0.0
Configurer les comptes Cognitive Services pour désactiver les méthodes d’authentification locales Désactivez les méthodes d’authentification locales de sorte que vos comptes Cognitive Services nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/cs/auth. Modifier, Désactivé 1.0.0
Configurer les comptes Cognitive Services pour désactiver l’accès au réseau public Désactivez l’accès réseau public pour votre ressource Cognitive Services afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2129800. Désactivé, Modifier 3.0.0
Configurer les comptes Cognitive Services pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en comptes Cognitive Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://go.microsoft.com/fwlink/?linkid=2110097. DeployIfNotExists, Désactivé 1.0.0
Configurer les comptes Cognitive Services avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés à Cognitive Services, vous réduisez le risque de fuite de données. En savoir plus sur les liaisons privées : https://go.microsoft.com/fwlink/?linkid=2129800. DeployIfNotExists, Désactivé 3.0.0

Calcul

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Références SKU des tailles de machine virtuelle autorisées Cette stratégie vous permet de spécifier un ensemble de références de taille de machine virtuelle que votre organisation peut déployer. Deny 1.0.1
Auditer des machines virtuelles pour lesquelles la reprise d’activité après sinistre n’est pas configurée Auditez les machines virtuelles configurées sans reprise d’activité. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Faire l’audit des machines virtuelles n’utilisant aucun disque managé Cette stratégie fait l’audit des machines virtuelles n’utilisant pas de disque managé audit 1.0.0
Configurer la reprise d’activité sur les machines virtuelles en activant la réplication avec Azure Site Recovery Les machines virtuelles sans configuration de récupération d’urgence sont vulnérables aux pannes et autres interruptions. Si la récupération d’urgence n’est pas encore configurée sur la machine virtuelle, cette opération produit le même effet en activant la réplication à l’aide de configurations prédéfinies pour faciliter la continuité des activités. Vous pouvez éventuellement inclure/exclure des machines virtuelles contenant une étiquette spécifiée pour contrôler l’étendue de l’attribution. Pour en savoir plus sur la reprise d’activité, consultez https://aka.ms/asr-doc. DeployIfNotExists, Désactivé 2.0.0
Configurer les ressources d’accès au disque pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour un disque managé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Désactivé 1.0.0
Configurer des ressources d’accès au disque avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés aux ressources d’accès au disque, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. DeployIfNotExists, Désactivé 1.0.0
Configurer les disques managés pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource de disque managé afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. Modifier, Désactivé 2.0.0
Déployer l’extension Microsoft IaaSAntimalware par défaut pour Windows Server Cette stratégie déploie une extension Microsoft IaaSAntimalware avec une configuration par défaut quand une machine virtuelle n’est pas configurée avec l’extension de logiciel anti-programme malveillant. deployIfNotExists 1.1.0
Les ressources d’accès au disque doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés aux accès disque, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Désactivé 1.0.0
Les disques managés doivent être doublement chiffrés avec des clés gérées par la plateforme et des clés gérées par le client Les clients sensibles haute sécurité qui sont concernés par les risques associés à un algorithme de chiffrement particulier, une implémentation ou une clé compromise, peuvent choisir une couche supplémentaire de chiffrement à l’aide d’un algorithme/mode de chiffrement différent au niveau de la couche d’infrastructure à l’aide de clés de chiffrement gérées par la plateforme. Les jeux de chiffrement de disque sont requis pour utiliser le chiffrement double. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-doubleEncryption. Audit, Refuser, Désactivé 1.0.0
Les disques managés doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que le disque managé ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des disques managés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disksprivatelinksdoc. Audit, Désactivé 2.0.0
Les disques managés doivent utiliser un jeu de chiffrement de disque spécifique pour le chiffrement à clé géré par le client Exiger un ensemble spécifique de jeux de chiffrement de disque à utiliser avec les disques gérés vous donne le contrôle des clés utilisées pour le chiffrement au repos. Vous pouvez sélectionner les jeux chiffrés autorisés, et tous les autres sont rejetés lorsqu’ils sont attachés à un disque. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 2.0.0
Microsoft Antimalware pour Azure doit être configuré pour mettre à jour automatiquement les signatures de protection Cette stratégie permet d’effectuer un audit de toutes les machines virtuelles Windows non configurées avec la mise à jour automatique des signatures de protection de Microsoft Antimalware. AuditIfNotExists, Désactivé 1.0.0
L’extension Microsoft IaaSAntimalware doit être déployée sur des serveurs Windows Cette stratégie permet d’auditer toute machine virtuelle Windows Server sans extension Microsoft IaaSAntimalware déployée. AuditIfNotExists, Désactivé 1.1.0
Seules les extensions de machine virtuelle approuvées doivent être installées Cette stratégie régit les extensions de machine virtuelle qui ne sont pas approuvées. Audit, Refuser, Désactivé 1.0.0
Les disques de système d’exploitation et de données doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos disques managés. Par défaut, les données sont chiffrées au repos avec des clés gérées par la plateforme. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/disks-cmk. Audit, Refuser, Désactivé 3.0.0
Exiger la mise à jour corrective automatique de l’image du système d’exploitation sur les groupes de machines virtuelles identiques Cette stratégie applique l’activation de la mise à jour corrective automatique des images de système d’exploitation sur les groupes de machines virtuelles identiques afin d’assurer la sécurité des machines virtuelles par l’application sécurisée mensuelle des derniers correctifs de sécurité. deny 1.0.0
Les journaux de ressources dans Virtual Machine Scale Sets doivent être activés Il est recommandé d’activer les journaux d’activité pour permettre le traçage de l’activité lors des enquêtes requises en cas d’incident ou de compromission. AuditIfNotExists, Désactivé 2.1.0
Les machines virtuelles et les groupes de machines virtuelles identiques doivent avoir le chiffrement sur l’hôte activé Utilisez le chiffrement sur l’hôte pour obtenir un chiffrement de bout en bout pour vos données de machine virtuelle et de groupes de machines virtuelles identiques. Le chiffrement sur l’hôte permet le chiffrement au repos pour votre disque temporaire et les caches du système d’exploitation/disque de données. Les disques de système d’exploitation temporaires et éphémères sont chiffrés avec des clés gérées par la plateforme lorsque le chiffrement sur l’hôte est activé. Les caches du système d’exploitation et du disque de données sont chiffrés au repos avec des clés gérées par le client ou par la plateforme, selon le type de chiffrement sélectionné sur le disque. Pour en savoir plus, rendez-vous sur https://aka.ms/vm-hbe. Audit, Refuser, Désactivé 1.0.0
Les machines virtuelles doivent être migrées vers de nouvelles ressources Azure Resource Manager Utilisez le nouvel Azure Resource Manager pour renforcer la sécurité de vos machines virtuelles : contrôle d’accès en fonction du rôle (RBAC) renforcé, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, et prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité. Audit, Refuser, Désactivé 1.0.0

Applications de conteneur

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’authentification doit être activée sur Container Apps L’authentification Container Apps est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’atteindre l’application conteneur ou authentifier celles qui ont des jetons avant qu’elles n’atteignent l’application conteneur AuditIfNotExists, Désactivé 1.0.1
Les environnements Container App doivent utiliser l’injection réseau Les environnements Container Apps doivent utiliser l’injection de réseau virtuel pour : 1. Isoler les applications conteneur de l’Internet public 2. Activer l’intégration réseau avec les ressources locales ou dans d’autres réseaux virtuels Azure 3. Gagner en granularité sur le trafic réseau entrant et provenant de l’environnement. Audit, Désactivé, Refus 1.0.2
Container App doit être configurée avec le montage de volume Appliquez l’utilisation de montages de volumes pour Container Apps afin de garantir la disponibilité de la capacité de stockage persistante. Audit, Refuser, Désactivé 1.0.1
L’environnement Container Apps doit désactiver l’accès réseau public Désactivez l’accès au réseau public pour améliorer la sécurité en exposant l’environnement Container Apps via un équilibreur de charge interne. Cela supprime la nécessité d’une adresse IP publique et empêche l’accès Internet à toutes les applications conteneur au sein de l’environnement. Audit, Refuser, Désactivé 1.0.1
Container Apps doit désactiver l’accès réseau externe Désactivez l’accès au réseau externe à vos applications conteneur en appliquant des entrées internes uniquement. Cela garantit que la communication entrante pour Container Apps est limitée aux appelants dans l’environnement Container Apps. Audit, Refuser, Désactivé 1.0.1
Container Apps doit être accessible uniquement via HTTPS L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. La désactivation de « allowInsecure » entraîne la redirection automatique des requêtes de HTTP vers HTTPS pour les applications de conteneur. Audit, Refuser, Désactivé 1.0.1
L’identité managée doit être activée pour les Container Apps L’application de l’identité managée garantit que Container Apps peut s’authentifier de manière sécurisée auprès de n’importe quelle ressource prenant en charge l’authentification Azure AD Audit, Refuser, Désactivé 1.0.1

Instance de conteneur

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le groupe de conteneurs Azure Container Instances doit être déployé dans un réseau virtuel Sécurisez les communications entre vos conteneurs avec les réseaux virtuels Azure. Lorsque vous spécifiez un réseau virtuel, les ressources au sein du réseau virtuel peuvent communiquer en toute sécurité et en privé entre elles. Audit, Désactivé, Refus 2.0.0
Le groupe de conteneurs Azure Container Instances doit utiliser une clé gérée par le client pour le chiffrement Sécurisez vos conteneurs avec plus de flexibilité à l’aide de clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé, Refus 1.0.0

Container Registry

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer les registres de conteneurs pour désactiver l’authentification anonyme. Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurez les registres de conteneurs pour désactiver l’authentification par jeton d’audience ARM. Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour désactiver le compte administrateur local. Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.1
Configurer les registres de conteneurs pour désactiver l’accès réseau public Désactivez l’accès au réseau public pour votre ressource de registre de conteneurs afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour désactiver le jeton d’accès délimité par le référentiel. Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Modifier, Désactivé 1.0.0
Configurer les registres de conteneurs pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre registre de conteneurs. Pour en savoir plus : https://aka.ms/privatednszone et https://aka.ms/acr/private-link. DeployIfNotExists, Désactivé 1.0.0
Configurer les registres de conteneurs avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à vos ressources de registre de conteneurs Premium, vous pouvez réduire les risques de fuite de données. Pour en savoir plus : https://aka.ms/privateendpoints et https://aka.ms/acr/private-link. DeployIfNotExists, Désactivé 1.0.0
Les registres de conteneurs doivent être chiffrés avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos du contenu de vos registres. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/acr/CMK. Audit, Refuser, Désactivé 1.1.2
L’authentification anonyme des registres de conteneurs doit être désactivée. Désactivez l’extraction anonyme pour votre registre afin que les données ne soient pas accessibles par un utilisateur non authentifié. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
L’authentification du jeton d’audience ARM doit être désactivée pour les registres de conteneurs. Désactivez les jetons d’audience ARM Azure Active Directory pour l’authentification auprès de votre registre. Seuls les jetons d’audience Azure Container Registry (ACR) seront utilisés pour l’authentification. Cela garantit que seuls les jetons destinés à l’utilisation sur le Registre peuvent être utilisés pour l’authentification. La désactivation des jetons d’audience ARM n’affecte pas l’authentification de l’utilisateur administrateur ou des jetons d’accès étendus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
Les exportations doivent être désactivées pour les registres de conteneurs La désactivation des exportations améliore la sécurité en s’assurant que les données d’un registre sont accessibles uniquement via le plan de données (« docker pull »). Les données ne peuvent pas être déplacées hors du registre via « acr import » ni via « acr transfer ». Pour désactiver les exportations, l’accès au réseau public doit être désactivé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/export-policy. Audit, Refuser, Désactivé 1.0.0
Le compte administrateur local des registres de conteneurs doit être désactivé. Désactivez le compte administrateur de votre registre afin que l’administrateur local ne puisse pas y accéder. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.1
Le jeton d’accès délimité par le référentiel des registres de conteneurs doit être désactivé. Désactivez les jetons d’accès délimités par le référentiel pour votre registre afin que les référentiels ne soient pas accessibles par les jetons. La désactivation des méthodes d’authentification locales, comme l’utilisateur administrateur, les jetons d’accès délimités par le référentiel et le tirage (pull) anonyme améliore la sécurité en veillant à ce que les registres de conteneurs nécessitent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/authentication. Audit, Refuser, Désactivé 1.0.0
Les registres de conteneurs doivent avoir des références SKU qui prennent en charge les liaisons privées Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Refuser, Désactivé 1.0.0
Les registres de conteneurs ne doivent pas autoriser un accès réseau non restreint Par défaut, les registres de conteneurs Azure acceptent les connexions via Internet à partir d’hôtes situés sur n’importe quel réseau. Pour protéger vos registres des menaces potentielles, autorisez l’accès uniquement à partir de points de terminaison privés, d’adresses ou de plages d’adresses IP publiques spécifiques. Si aucune règle réseau n’est configurée pour votre registre, celui-ci apparaît dans les ressources non saines. Découvrez plus en détail les règles réseau de Container Registry ici : https://aka.ms/acr/privatelink,https://aka.ms/acr/portal/public-network et https://aka.ms/acr/vnet. Audit, Refuser, Désactivé 2.0.0
Les registres de conteneurs doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à vos registres de conteneurs plutôt qu’à l’ensemble du service, vous êtes également protégé contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/acr/private-link. Audit, Désactivé 1.0.1
L’accès réseau public doit être désactivé pour les registres de conteneurs La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les registres de conteneurs ne sont pas exposés sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources de registre de conteneurs. Pour en savoir plus : https://aka.ms/acr/portal/public-network et https://aka.ms/acr/private-link. Audit, Refuser, Désactivé 1.0.0

Cosmos DB

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Cosmos DB doivent avoir des règles de pare-feu Les règles de pare-feu doivent être définies dans vos comptes Azure Cosmos DB pour empêcher le trafic provenant de sources non autorisées. Les comptes qui possèdent au moins une règle IP définie avec le filtre de réseau virtuel activé sont considérés comme conformes. Les comptes qui désactivent l’accès public sont également jugés conformes. Audit, Refuser, Désactivé 2.0.0
Les comptes Azure Cosmos DB ne doivent pas dépasser le nombre maximal de jours autorisés depuis la dernière regénération de clé de compte. Regénérez vos clés dans le délai spécifié pour protéger davantage vos données. Audit, Désactivé 1.0.0
Les comptes Azure Cosmos DB doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre compte Azure Cosmos DB. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/cosmosdb-cmk. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Localisations Azure Cosmos DB autorisées Cette stratégie vous permet de limiter les localisations que votre organisation peut spécifier pendant le déploiement de ressources Azure Cosmos DB. Utilisez-la pour appliquer vos exigences de conformité géographique. [parameters('policyEffect')] 1.1.0
L’accès en écriture des métadonnées basé sur une clé Azure Cosmos DB doit être désactivé Cette stratégie vous permet de vérifier que tous les comptes Azure Cosmos DB désactivent l’accès en écriture des métadonnées basé sur une clé. append 1.0.0
Azure Cosmos DB doit désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que votre compte CosmosDB ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Audit, Refuser, Désactivé 1.0.0
Le débit Azure Cosmos DB doit être limité Cette stratégie vous permet de limiter le débit maximal que votre organisation peut spécifier pendant la création de bases de données et de conteneurs Azure Cosmos DB via le fournisseur de ressources. La création de ressources de mise à l’échelle automatique est bloquée. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Configurer les comptes de base de données Cosmos DB pour désactiver l’authentification locale Désactivez les méthodes d'authentification locale afin que vos comptes de base de données Cosmos DB requièrent exclusivement les identités Azure Active Directory pour l'authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Modifier, Désactivé 1.0.0
Configurer les comptes CosmosDB pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre ressource CosmosDB afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. Modifier, Désactivé 1.0.0
Configurer les comptes CosmosDB pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour la résoudre en compte CosmosDB. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 2.0.0
Configurer les comptes CosmosDB avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte CosmosDB, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. DeployIfNotExists, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les comptes Cosmos DB La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les comptes de base de données Cosmos DB nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. Audit, Refuser, Désactivé 1.0.0
Les comptes CosmosDB doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte CosmosDB, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Désactivé 1.0.0
Déployer Advanced Threat Protection pour les comptes Cosmos DB Cette stratégie active Advanced Threat Protection sur les comptes Cosmos DB. DeployIfNotExists, Désactivé 1.0.0

Fournisseur personnalisé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Déployer des associations pour un fournisseur personnalisé Déploie une ressource d’association qui associe les types de ressources sélectionnés au fournisseur personnalisé spécifié. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. deployIfNotExists 1.0.0

Data Box

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les travaux Azure Data Box doivent activer le chiffrement double pour les données au repos sur l’appareil Activez une deuxième couche de chiffrement basé sur un logiciel pour les données au repos sur l’appareil. L’appareil est déjà protégé par un chiffrement Advanced Encryption Standard 256 bits pour les données au repos. Cette option ajoute une deuxième couche de chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Les travaux Azure Data Box doivent utiliser une clé gérée par le client pour chiffrer le mot de passe de déverrouillage de l’appareil Utilisez une clé gérée par le client pour contrôler le chiffrement du mot de passe de déverrouillage de l’appareil pour Azure Data Box. Les clés gérées par le client permettent également de gérer l’accès au mot de passe de déverrouillage de l’appareil par le service Data Box afin de préparer l’appareil et de copier des données de manière automatisée. Les données situées sur l’appareil lui-même sont déjà chiffrées au repos par un chiffrement Advanced Encryption Standard 256 bits, et le mot de passe de déverrouillage de l’appareil est chiffré par défaut avec une clé gérée par Microsoft. Audit, Refuser, Désactivé 1.0.0

Data Factory

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Le runtime d’intégration Azure Data Factory doit avoir une limite pour le nombre de cœurs Pour gérer vos ressources et les coûts, limitez le nombre de cœurs pour un runtime d’intégration. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Le type de ressource de service lié Azure Data Factory doit figurer dans la liste verte Définir la liste verte des types de services liés Azure Data Factory. La restriction des types de ressources autorisés permet de contrôler la limite du déplacement des données. Par exemple, définissez une étendue afin d’autoriser uniquement le stockage d’objets blob avec Data Lake Storage Gen1 et Gen2 à des fins d’analytique, ou une étendue afin d’autoriser uniquement l’accès à SQL et Kusto pour les requêtes en temps réel. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les services liés Azure Data Factory doivent utiliser Key Vault pour le stockage des secrets Pour garantir la gestion sécurisée des secrets (tels que les chaînes de connexion), demandez aux utilisateurs de fournir des secrets à l’aide d’un coffre de clés Azure au lieu de les spécifier inline dans les services liés. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les services liés Azure Data Factory doivent utiliser l’authentification par une identité managée affectée par le système quand elle est prise en charge L’utilisation d’une identité managée affectée par le système lors de la communication avec les magasins de données par le biais de services liés permet d’éviter l’utilisation d’informations d’identification moins sécurisées, telles que les mots de passe ou les chaînes de connexion. Audit, Refuser, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Azure Data Factory doit utiliser un dépôt Git pour le contrôle de code source Activez le contrôle de code source sur les fabriques de données afin de bénéficier de fonctionnalités telles que le suivi des modifications, la collaboration, l’intégration continue et le déploiement. Audit, Refuser, Désactivé 1.0.0-preview
Les fabriques de données Azure doivent être chiffrées avec une clé gérée par le client Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre instance Azure Data Factory. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/adf-cmk. Audit, Refuser, Désactivé 1.0.1
Azure Data Factory doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Azure Data Factory, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Désactivé 1.0.0
Configurer les fabriques de données pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre fabrique de données afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. Modifier, Désactivé 1.0.0
Configurer des zones DNS privées pour les points de terminaison privés qui se connectent à Azure Data Factory Les enregistrements DNS privés permettent d’établir des connexions privées aux points de terminaison privés. Les connexions de points de terminaison privés permettent une communication sécurisée en fournissant une connectivité privée à Azure Data Factory sans nécessiter d’adresses IP publiques à la source ou à la destination. Pour plus d’informations sur les points de terminaison privés et les zones DNS dans Azure Data Factory, consultez https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Désactivé 1.0.0
Configurer des points de terminaison privés pour les fabriques de données Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Azure Data Factory, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/data-factory/data-factory-private-link. DeployIfNotExists, Désactivé 1.0.0
L’accès au réseau public sur Azure Data Factory doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure Data Factory n’est accessible qu’à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
Les runtimes d’intégration SQL Server Integration Services sur Azure Data Factory doivent être joints à un réseau virtuel Le déploiement d’un réseau virtuel Azure offre une sécurité renforcée et un isolement supérieur pour vos runtimes d’intégration SQL Server Integration Services sur Azure Data Factory, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités pour restreindre davantage l’accès. Audit, Refuser, Désactivé 2.0.0

Data Lake

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Exiger un chiffrement sur les comptes Data Lake Store Cette stratégie garantit que le chiffrement est activé sur tous les comptes Data Lake Store deny 1.0.0
Les journaux de ressources dans Azure Data Lake Store doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les journaux de ressources dans Data Lake Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Event Grid

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les domaines Azure Event Grid doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les domaines Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les domaines Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre domaine Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Les méthodes d’authentification locales doivent être désactivées pour les espaces de noms partenaires Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les rubriques Azure Event Grid doivent désactiver l’accès réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Refuser, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les rubriques Azure Event Grid La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Audit, Refuser, Désactivé 1.0.0
Les rubriques Azure Event Grid doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En faisant correspondre des points de terminaison privés à votre rubrique Event Grid plutôt qu’à l’ensemble du service, vous vous protégez également contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Désactivé 1.0.2
Configurer les domaines Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos domaines Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Configurer les espaces de noms partenaires Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos espaces de noms partenaires Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Configurer les rubriques Azure Event Grid pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos rubrique Azure Event Grid imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aeg-disablelocalauth. Modifier, Désactivé 1.0.0
Déployer : configurer des domaines Azure Event Grid pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Désactivé 1.1.0
Déployer : configurer des domaines Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Déployer : configurer des rubriques Azure Event Grid pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. deployIfNotExists, DeployIfNotExists, Désactivé 1.1.0
Déployer : configurer des rubriques Azure Event Grid avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En faisant correspondre des points de terminaison privés à vos ressources, vous les protégez contre les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. DeployIfNotExists, Désactivé 1.0.0
Modifier - Configurer des domaines Azure Event Grid pour désactiver l’accès réseau public Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0
Modifier - Configurer des rubriques Azure Event Grid pour désactiver l’accès réseau public Désactivez l’accès réseau public pour la ressource Azure Event Grid afin qu’elle ne soit pas accessible via l’Internet public. Cela vous aidera à la protéger contre les risques de fuite de données. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0

Event Hub

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Event Hub Les clients Event Hub ne doivent pas utiliser une stratégie d'accès au niveau de l'espace de noms qui donne accès à l'ensemble des files d'attente et rubriques d'un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique Audit, Refuser, Désactivé 1.0.1
Les règles d’autorisation sur l’instance Event Hub doivent être définies Auditer l’existence de règles d’autorisation sur les entités Event Hub pour accorder un accès à privilèges minimum AuditIfNotExists, Désactivé 1.0.0
Les espaces de noms Azure Event Hub doivent avoir des méthodes d’authentification locales désactivées La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Event Hub imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. Audit, Refuser, Désactivé 1.0.0
Configurer des espaces de noms Azure Event Hub pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure Event Hub imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-eh. Modifier, Désactivé 1.0.0
Configurer des espaces de noms Event Hub pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espace de noms Event Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Configurer des espaces de noms Event Hub avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Event Hub, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Le chiffrement double doit être activé pour les espaces de noms du hub d’événements Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une clé gérée par le client pour le chiffrement Azure Event Hubs prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Event Hub pour chiffrer les données dans votre espace de noms. Notez qu’Event Hub ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms dans les clusters dédiés. Audit, Désactivé 1.0.0
Les espaces de noms Event Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Event Hub, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans Event Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Relais Fluid

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Relais Fluid doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs Fluid Relay. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des CMK sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent aux données d’être chiffrées avec une clé Azure Key Vault créée et détenue par vous, avec un contrôle total et une responsabilité, notamment la rotation et la gestion. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. Audit, Désactivé 1.0.0

Général

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Emplacements autorisés Cette stratégie vous permet de restreindre les emplacements que votre organisation peut spécifier lors du déploiement de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. Exclut les groupes de ressources, Microsoft.azureactivedirectory/b2cdirectories et les ressources qui utilisent la région « globale ». deny 1.0.0
Emplacements autorisés pour les groupes de ressources Cette stratégie vous permet de restreindre les emplacements où votre organisation peut créer des groupes de ressources. Utilisez-la pour appliquer vos exigences de conformité géographique. deny 1.0.0
Types de ressources autorisés Cette stratégie vous permet de spécifier les types de ressources que votre organisation peut déployer. Seuls les types de ressources prenant en charge « tags » et « location » sont affectés par cette stratégie. Pour restreindre toutes les ressources, dupliquez cette stratégie et affectez à « mode » la valeur « All ». deny 1.0.0
Vérifier que l’emplacement de la ressource correspond à l’emplacement du groupe de ressources Vérifie que l’emplacement de la ressource correspond à l’emplacement de son groupe de ressources audit 2.0.0
Auditer l’utilisation de règles personnalisées RBAC Auditer des rôles intégrés tels que « Propriétaire, contributeur, lecteur » au lieu des rôles RBAC personnalisés, qui sont susceptibles d’engendrer des erreurs. L’utilisation de rôles personnalisés est traitée comme une exception et nécessite un contrôle rigoureux et la modélisation des menaces Audit, Désactivé 1.0.0
Types de ressources non autorisés Limitez les types de ressources qui peuvent être déployés dans votre environnement. La limitation des types de ressources peut réduire la complexité et la surface d’attaque de votre environnement, tout en aidant à gérer les coûts. Les résultats de conformité s’affichent uniquement pour les ressources non conformes. Audit, Refuser, Désactivé 2.0.0

Guest Configuration

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion]: [Préversion] : Ajouter une identité managée affectée par l’utilisateur pour activer les affectations Guest Configuration sur les machines virtuelles Cette stratégie ajoute une identité managée affectée par l’utilisateur aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration. Une identité managée affectée par l’utilisateur est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer Windows Server pour désactiver les utilisateurs locaux. Crée une affectation Configuration Invité pour configurer la désactivation des utilisateurs locaux sur Windows Server. Cela garantit que les serveurs Windows ne sont accessibles qu’à un compte AAD (Azure Active Directory) ou à une liste d’utilisateurs explicitement autorisés par cette stratégie, ce qui améliore la posture de sécurité globale. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Linux doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage. Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Utilisez Azure Disk Encryption ou le Chiffrement sur l’hôte pour protéger le système d’exploitation et les disques de données de votre machine virtuelle, les disques temporaires, les caches de données et toutes les données circulant entre le calcul et le stockage. Pour en savoir plus sur les différentes offres de chiffrement de disque, consultez https://aka.ms/diskencryptioncomparison. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure pour les hôtes Docker Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La machine n'est pas configurée correctement pour l'une des recommandations de la base de référence de sécurité Azure pour les hôtes Docker. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Linux doivent respecter les exigences de conformité du STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations des exigences de conformité du STIG pour le calcul Azure. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Linux avec OMI installées doivent avoir la version 1.6.8-1 ou ultérieure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. En raison d’un correctif de sécurité inclus dans la version 1.6.8-1 du package OMI pour Linux, toutes les machines doivent être mises à jour vers la dernière version. Mettez à niveau les applications/packages qui utilisent OMI pour résoudre le problème. Pour plus d’informations, consultez https://aka.ms/omiguidance. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Windows doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage. Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Utilisez Azure Disk Encryption ou le Chiffrement sur l’hôte pour protéger le système d’exploitation et les disques de données de votre machine virtuelle, les disques temporaires, les caches de données et toutes les données circulant entre le calcul et le stockage. Pour en savoir plus sur les différentes offres de chiffrement de disque, consultez https://aka.ms/diskencryptioncomparison. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les machines Windows doivent respecter les exigences de conformité STIG pour le calcul Azure Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines sont non conformes si elles ne sont pas configurées correctement par rapport à l’une des recommandations des exigences de conformité STIG pour Azure Compute. DISA (Defense Information Systems Agency) fournit des guides techniques STIG (Security Technical Implementation Guide) pour sécuriser le système d’exploitation de calcul selon les besoins du ministère de la Défense des États-Unis (DoD). Pour plus d’informations, https://public.cyber.mil/stigs/. AuditIfNotExists, Désactivé 1.0.0-preview
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles sans identité Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles hébergées dans Azure et qui sont prises en charge par Guest Configuration, mais qui n’ont pas d’identité managée. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.0.0
Ajouter une identité managée affectée par le système pour activer les attributions Guest Configuration sur les machines virtuelles qui ont une identité affectée par l’utilisateur Cette stratégie ajoute une identité managée affectée par le système aux machines virtuelles, hébergées dans Azure, qui sont prises en charge par Guest Configuration et ont au moins une identité affectée par l’utilisateur, mais pas d’identité managée affectée par le système. Une identité managée affectée par le système est un prérequis pour toutes les attributions Guest Configuration ; elle doit être ajoutée aux machines avant d’utiliser une définition de stratégie Guest Configuration. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. modify 4.0.0
Auditer les machines Linux qui autorisent les connexions à distance des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles autorisent les connexions à distance à partir de comptes sans mot de passe AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Linux qui n’ont pas les autorisations de fichier passwd définies sur 0644 Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles n’ont pas les autorisations de fichier de mot de passe définies sur 0644 AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Linux qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre ne sont pas installés. AuditIfNotExists, Désactivé 4.0.0
Auditer les machines Linux qui ont des comptes sans mot de passe Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Linux ne sont pas conformes si elles ont des comptes sans mot de passe AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Linux qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la ressource Chef InSpec indique qu’un ou plusieurs des packages fournis par le paramètre sont installés. AuditIfNotExists, Désactivé 4.0.0
Auditer les machines Windows qui ont un ou plusieurs membres spécifiés manquants dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local ne contient pas un ou plusieurs membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer la connectivité réseau des machines Windows Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’état d’une connexion réseau à un port IP et TCP ne correspond pas au paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles la configuration DSC n’est pas conforme Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-DSCConfigurationStatus retourne que la configuration DSC pour la machine n’est pas conforme. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles l’agent Log Analytics n’est pas connecté comme prévu Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si l’agent n’est pas installé ou s’il est installé, mais que l’objet COM AgentConfigManager.MgmtSvcCfg renvoie qu’il est inscrit auprès d’un espace de travail autre que l’ID spécifié dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows sur lesquelles les services spécifiés ne sont pas installés ni « En cours d’exécution » Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le résultat de la commande Windows PowerShell Get-Service n’inclut pas le nom du service dont l’état correspond à celui spécifié par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows sur lesquelles la console série Windows n’est pas activée Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le logiciel de console série n’est pas installé sur la machine ou si le numéro de port EMS ou la vitesse en bauds ne sont pas configurés avec les mêmes valeurs que les paramètres de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui autorisent la réutilisation des 24 mots de passe précédents Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles autorisent la réutilisation des 24 mots de passe précédents AuditIfNotExists, Désactivé 2.0.0
Vérifier que les machines Windows ne sont pas jointes au domaine spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété Domain dans la classe WMI win32_computersystem ne correspond pas à la valeur du paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne sont pas définies sur le fuseau horaire spécifié Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la valeur de la propriété StandardName dans la classe WMI Win32_TimeZone ne correspond pas au fuseau horaire sélectionné pour le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui contiennent des certificats arrivant à expiration dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si les certificats du magasin spécifié ont une date d’expiration hors limites pour le nombre de jours indiqué comme paramètre. La stratégie offre également la possibilité de rechercher uniquement des certificats spécifiques ou d’exclure des certificats spécifiques, et de signaler les certificats arrivés à expiration. auditIfNotExists 2.0.0
Auditer les machines Windows qui ne contiennent pas les certificats spécifiés dans la racine de confiance Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le magasin de certificats racines de confiance de l’ordinateur (Cert:\LocalMachine\Root) ne contient pas un ou plusieurs des certificats listés par le paramètre de stratégie. auditIfNotExists 3.0.0
Auditer les machines Windows qui n’ont pas une antériorité maximale du mot de passe de 70 jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas une antériorité maximale du mot de passe de 70 jours AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui n’ont pas une antériorité minimale du mot de passe de 1 jour Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas une antériorité minimale du mot de passe de 1 jour AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui n’ont pas le paramètre de complexité de mot de passe activé Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles n’ont pas le paramètre de complexité de mot de passe activé AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows ne spécifiant pas la stratégie d’exécution Windows PowerShell Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la commande Windows PowerShell Get-ExecutionPolicy retourne une valeur différente de celle sélectionnée dans le paramètre de stratégie. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows sur lesquelles les modules Windows PowerShell spécifiés ne sont pas installés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si un module n’est pas disponible à un emplacement spécifié par la variable d’environnement PSModulePath. AuditIfNotExists, Désactivé 3.0.0
Auditer les machines Windows qui ne limitent pas la longueur minimale du mot de passe à 14 caractères Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne limitent pas la longueur minimale du mot de passe à 14 caractères AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui ne stockent pas les mots de passe à l’aide du chiffrement réversible Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines Windows ne sont pas conformes si elles ne stockent pas les mots de passe à l’aide du chiffrement réversible AuditIfNotExists, Désactivé 2.0.0
Auditer les machines Windows qui n’ont pas les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est introuvable dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont des comptes supplémentaires dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient des membres qui ne sont pas listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui n’ont pas redémarré dans le nombre spécifié de jours Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la propriété WMI LastBootUpTime dans la classe Win32_Operatingsystem est en dehors de la plage de jours spécifiée par le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les applications spécifiées installées Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le nom de l’application est présent dans l’un des chemins de Registre suivants : HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. auditIfNotExists 2.0.0
Auditer les machines Windows qui ont les membres spécifiés dans le groupe Administrateurs Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si le groupe Administrateurs local contient un ou plusieurs des membres listés dans le paramètre de stratégie. auditIfNotExists 2.0.0
Auditer les machines virtuelles Windows avec un redémarrage en attente Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si la machine est en attente de redémarrage pour l’une des raisons suivantes : maintenance basée sur les composants, Windows Update, changement de nom de fichier en attente, changement de nom d’ordinateur en attente, redémarrage du gestionnaire de configuration en attente. Chaque détection a un chemin de Registre unique. auditIfNotExists 2.0.0
L’authentification auprès des machines Linux doit exiger des clés SSH Bien que le protocole SSH lui-même offre une connexion chiffrée, l’utilisation de mots de passe avec SSH laisse néanmoins la machine virtuelle vulnérable aux attaques en force brute. L’option la plus sûre pour l’authentification auprès d’une machine virtuelle Linux Azure via SSH est d’utiliser une paire de clés publique-privée, également appelées clés SSH. En savoir plus : https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Désactivé 3.0.0
Configurer des protocoles de communication sécurisés (TLS 1.1 ou TLS 1.2) sur des serveurs Windows Crée une attribution Guest Configuration pour configurer la version de protocole sécurisée spécifiée (TLS 1.1 ou TLS 1.2) sur le serveur Windows DeployIfNotExists, Désactivé 1.0.0
Configurer le fuseau horaire sur les machines Windows. Cette stratégie crée une attribution Guest Configuration pour définir le fuseau horaire spécifié sur des machines virtuelles Windows. deployIfNotExists 2.0.0
Déployer l’extension Guest Configuration Linux pour activer les affectations Guest Configuration sur les machines virtuelles Linux Cette stratégie déploie l’extension Guest Configuration Linux sur les machines virtuelles Linux hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration pour Linux est un prérequis dans toutes les affectations de Guest Configuration pour Linux. Elle doit être déployée sur les machines avant l’utilisation d’une définition de stratégie Guest Configuration pour Linux. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 3.0.0
Déployer l’extension Guest Configuration Windows pour activer les affectations Guest Configuration sur les machines virtuelles Windows Cette stratégie déploie l’extension Guest Configuration Windows sur les machines virtuelles Windows hébergées dans Azure qui sont prises en charge par Guest Configuration. L’extension Guest Configuration Windows est un prérequis pour toutes les affectations Guest Configuration Windows. Vous devez la déployer sur vos machines avant d’utiliser une définition de stratégie Guest Configuration Windows. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. deployIfNotExists 1.2.0
L’agent Log Analytics doit être installé sur les machines Linux sur Azure Arc Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur le serveur Linux avec Azure Arc. AuditIfNotExists, Désactivé 1.1.0
Les machines Linux doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0
Les machines Linux doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.0.0
Les points de terminaison privés pour les affectations de Guest Configuration doivent être activés Les connexions de points de terminaison privés appliquent une communication sécurisée en activant la connectivité privée à Guest Configuration pour les machines virtuelles. Les machines virtuelles seront non conformes à moins qu’elles comportent l’étiquette « EnablePrivateNetworkGC ». Cette étiquette applique une communication sécurisée par le biais d’une connectivité privée à Guest Configuration pour les machines virtuelles. La connectivité privée limite l’accès au trafic provenant de réseaux connus et empêche l’accès à partir de toutes les autres adresses IP, notamment dans Azure. Audit, Refuser, Désactivé 1.0.0
Windows Defender Exploit Guard doit être activé sur vos machines Windows Defender Exploit Guard utilise l’agent de configuration d’invité Azure Policy. Windows Defender Exploit Guard compte quatre composants conçus pour verrouiller les appareils afin de les protéger contre un vaste éventail de vecteurs d’attaque et comportements de blocage couramment utilisés par les programmes malveillants, tout en permettant aux entreprises de trouver un juste équilibre entre sécurité et productivité (Windows uniquement). AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent configurer Windows Defender pour mettre à jour les signatures de protection dans un délai d’un jour Pour fournir une protection adéquate contre les nouveaux programmes malveillants, les signatures de protection Windows Defender doivent être mises à jour régulièrement pour tenir compte des nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
Les machines Windows doivent activer la protection en temps réel Windows Defender Les machines Windows doivent activer la protection en temps réel dans Windows Defender pour fournir une protection adéquate contre les nouveaux programmes malveillants. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur les machines Windows sur Azure Arc Les machines ne sont pas conformes si l’agent Log Analytics n’est pas installé sur un serveur Windows avec Azure Arc. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Panneau de configuration » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Panneau de configuration » pour la personnalisation de l’entrée et la prévention de l’activation des écrans de verrouillage. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - MSS (hérité) » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - MSS (hérité) » pour l’ouverture de session automatique, l’économiseur d’écran, le comportement réseau, la DLL sécurisée et le journal des événements. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Réseau » pour les ouvertures de session d’invité, les connexions simultanées, le pont réseau, ICS et la résolution de noms de multidiffusion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Modèles d’administration - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Modèles d’administration - Système » pour les paramètres qui contrôlent l’expérience administrative et l’assistance à distance. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Comptes » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Comptes » pour limiter l’utilisation par le compte local de mots de passe vides et pour l’état du compte Invité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Audit » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Audit » pour forcer les sous-catégories de stratégie d’audit et pour l’arrêt en cas d’incapacité à journaliser les audits de sécurité. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Appareils » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Appareils » pour la désancrage sans ouverture de session, l’installation des pilotes d’impression et le formatage/éjection de médias. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Ouverture de session interactive » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Ouverture de session interactive » pour afficher le nom du dernier utilisateur et exiger Ctrl-Alt-Suppr. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences pour « Options de sécurité - Client réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour le client/serveur réseau Microsoft et SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Serveur réseau Microsoft » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Serveur réseau Microsoft » pour désactiver le serveur SMB v1. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Accès réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Accès réseau » pour inclure l’accès des utilisateurs anonymes, des comptes locaux et l’accès à distance au Registre. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Sécurité réseau » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Sécurité réseau » pour inclure le comportement du système local, PKU2U, LAN Manager, le client LDAP et NTLM SSP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Console de récupération » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Console de récupération » pour autoriser la copie de disquettes et l’accès à tous les lecteurs et dossiers. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Arrêt » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Arrêt » pour autoriser l’arrêt sans ouverture de session et l’effacement du fichier d’échange de mémoire virtuelle. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Objets système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Objets système » pour le non-respect de la casse pour les sous-systèmes non-Windows et les autorisations des objets système internes. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Paramètres système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Paramètres système » pour les règles de certificat sur les exécutables pour SRP et les sous-systèmes facultatifs. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Options de sécurité - Contrôle de compte d’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Options de sécurité - Contrôle de compte d’utilisateur » pour le mode pour les administrateurs, le comportement d’invite d’élévation et la virtualisation des échecs d’écriture dans les fichiers et les registres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Paramètres de sécurité - Stratégies de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Paramètres de sécurité - Stratégies de compte » pour l’historique, l’âge, la longueur et la complexité des mots de passe, et leur stockage à l’aide du chiffrement réversible. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Connexion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Connexion de compte » pour l’audit de la validation des informations d’identification et d’autres événements d’ouverture de session de compte. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Gestion de compte » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Gestion de compte » pour l’audit de la gestion des applications, de la sécurité et des groupes d’utilisateurs, et d’autres événements de gestion. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Suivi détaillé » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Suivi détaillé » pour auditer DPAPI, la création/fin des processus, les événements RPC et l’activité PNP. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Ouverture et fermeture de session » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Ouverture et fermeture de session » pour l’audit d’IPSec, de la stratégie réseau, des revendications, du verrouillage de compte, de l’appartenance au groupe et des événements d’ouverture/de fermeture de session. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Accès aux objets » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Accès aux objets » pour l’audit des fichiers, du Registre, de SAM, du stockage, du filtrage, du noyau et d’autres types de système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Changement de stratégie » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Changement de stratégie » pour l’audit des modifications apportées aux stratégies d’audit du système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Utilisation de privilège » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Utilisation de privilège » pour l’audit de l’utilisation des privilèges non sensibles et autres. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Stratégies d’audit du système - Système » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Stratégies d’audit du système - Système » pour l’audit du pilote IPsec, de l’intégrité du système, de l’extension système, du changement d’état et d’autres événements système. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Attribution de droits de l’utilisateur » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Attribution de droits de l’utilisateur » pour autoriser l’ouverture de session localement, RDP, l’accès à partir du réseau et plusieurs autres activités utilisateur. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Composants Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Composants Windows » pour l’authentification de base, le trafic non chiffré, les comptes Microsoft, la télémétrie, Cortana et d’autres comportements de Windows. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de « Propriétés de pare-feu Windows » Les machines Windows doivent avoir les paramètres de stratégie de groupe spécifiés dans la catégorie « Propriétés de pare-feu Windows » pour l’état du pare-feu, les connexions, la gestion des règles et les notifications. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 3.0.0
Les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Les machines ne sont pas conformes si elles ne sont pas configurées correctement par rapport aux différentes recommandations de la base de référence de sécurité d’Azure Compute. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent disposer uniquement de comptes locaux autorisés Nécessite le déploiement des prérequis dans l’étendue de l’attribution de stratégie. Pour plus d’informations, visitez https://aka.ms/gcpol. Cette définition n’est pas prise en charge sur Windows Server 2012 ou 2012 R2. La gestion des comptes d’utilisateur à l’aide d’Azure Active Directory est une bonne pratique pour la gestion des identités. La réduction des comptes de machine locale permet d’empêcher la prolifération des identités managées en dehors d’un système central. Les machines ne sont pas conformes s’il existe des comptes d’utilisateur locaux activés et non listés dans le paramètre de stratégie. AuditIfNotExists, Désactivé 2.0.0
Les machines Windows doivent planifier Windows Defender pour effectuer une analyse planifiée tous les jours Les machines Windows doivent planifier Windows Defender pour effectuer une analyse planifiée tous les jours pour vous assurer que les programmes malveillants sont rapidement identifiés, afin de réduire l’effet que cela peut avoir sur l’environnement. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
Les machines Windows doivent utiliser le serveur NTP par défaut Configurez « time.windows.com » comme serveur NTP par défaut pour toutes les machines Windows pour vous assurer que les journaux d’activité sur tous les systèmes ont des horloges système synchronisées. Cette stratégie exige que les conditions préalables à la configuration de l’invité aient été déployées sur l’étendue de l’attribution de stratégie. Pour plus d’informations sur Guest Configuration, consultez https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.0
Les serveurs web Windows doivent être configurés de façon à utiliser des protocoles de communication sécurisés Pour protéger la confidentialité des informations communiquées sur Internet, vos serveurs web doivent utiliser la dernière version du protocole de chiffrement standard, TLS (Transport Layer Security). Le protocole TLS sécurise les communications sur un réseau en chiffrant une connexion entre les ordinateurs à l’aide de certificats de sécurité. AuditIfNotExists, Désactivé 4.0.0

HDInsight

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les clusters Azure HDInsight doivent être injectés dans un réseau virtuel L’injection de clusters Azure HDInsight dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau de HDInsight, et vous permet de contrôler la configuration de la sécurité de votre réseau. Audit, Désactivé, Refus 1.0.0
Les clusters Azure HDInsight doivent utiliser les clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos clusters Azure HDInsight. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/hdi.cmk. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure HDInsight doivent utiliser le chiffrement sur l’hôte pour chiffrer les données au repos Le fait d’activer le chiffrement sur l’hôte vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque vous activez le chiffrement sur l'hôte, les données stockées sur l'hôte de machine virtuelle sont chiffrées au repos et les flux sont chiffrés dans le service de stockage. Audit, Refuser, Désactivé 1.0.0
Les clusters Azure HDInsight doivent utiliser le chiffrement en transit pour chiffrer la communication entre les nœuds de cluster Azure HDInsight Les données peuvent être falsifiées pendant leur transmission entre les nœuds de cluster Azure HDInsight. L’activation du chiffrement en transit résout les problèmes d’utilisation abusive et de falsification des données pendant leur transmission. Audit, Refuser, Désactivé 1.0.0
Azure HDInsight devrait utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure HDInsight clusters pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour les clusters HDInsight. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/hdi.pl. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Azure HDInsight avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des clusters Azure HDInsight, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/hdi.pl. DeployIfNotExists, Désactivé 1.0.0

Health Bot

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les instances Azure Health Bot doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client (CMK) pour gérer le chiffrement au repos des données de vos healthbots. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, voir https://docs.microsoft.com/azure/health-bot/cmk Audit, Désactivé 1.0.0

Espace de travail Services de données de santé

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’espace de travail Services de données de santé Azure doit utiliser une liaison privée L’espace de travail Services de données de santé doit avoir au moins une connexion de point de terminaison privé approuvée. Les clients d’un réseau virtuel peuvent accéder de façon sécurisée aux ressources qui ont des connexions de point de terminaison privés via des liens privés. Pour plus d’informations, consultez https://aka.ms/healthcareapisprivatelink. Audit, Désactivé 1.0.0

API Healthcare

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
CORS ne doit pas autoriser tous les domaines à accéder à votre service FHIR Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre service FHIR. Pour protéger votre service FHIR, supprimez l’accès pour tous les domaines et définissez explicitement les domaines autorisés à se connecter. audit, Audit, désactivé, Désactivé 1.1.0

Internet des objets

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Azure IoT Hub doit utiliser une clé gérée par le client pour chiffrer les données au repos Le chiffrement des données au repos dans IoT Hub avec une clé gérée par le client ajoute une deuxième couche de chiffrement sur les clés gérées par défaut, et permet au client de contrôler les clés, les stratégies de rotation personnalisées et l’accès aux données avec le contrôle d’accès par clé. Les clés gérées par le client doivent être configurées lors de la création de l’instance IoT Hub. Pour plus d’informations sur la configuration des clés gérées par le client, consultez https://aka.ms/iotcmk. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les données du service de provisionnement d’appareils IoT Hub doivent être chiffrées à l’aide de clés gérées par le client (CMK) Utilisez des clés gérées par le client pour gérer le chiffrement au repos de votre service d’approvisionnement d’appareils IoT Hub. Les données sont automatiquement chiffrées au repos avec des clés gérées par le service, mais des clés gérées par le client (CMK) sont généralement requises pour répondre aux normes de conformité réglementaire. Les CMK permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Pour en savoir plus sur le chiffrement par clés gérées par le client, consultez https://aka.ms/dps/CMK. Audit, Refuser, Désactivé 1.0.0-preview
Les comptes Azure Device Update pour IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des comptes Azure Device Update pour IoT Hub, les risques de fuite de données sont réduits. AuditIfNotExists, Désactivé 1.0.0
Dans Azure IoT Hub, les méthodes d’authentification locale doivent être désactivées pour les API de service La désactivation des méthodes d’authentification locales améliore la sécurité en garantissant qu’Azure IoT Hub exigera exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. Audit, Refuser, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub pour désactiver l’accès réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Device IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur Device Update pour les ressources IoT Hub. Modifier, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub afin d’utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour Device Update pour des points de terminaison IoT Hub privés. DeployIfNotExists, Désactivé 1.0.0
Configurer les comptes Azure Device Update pour IoT Hub avec un point de terminaison privé Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance Device Update pour IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre cette ressource sans que le trafic soit envoyé au point de terminaison public de Device Update pour IoT Hub. DeployIfNotExists, Désactivé 1.1.0
Configurer Azure IoT Hub pour désactiver l’authentification locale Désactivez les méthodes d’authentification locale afin que votre instance Azure IoT Hub exige exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iothubdisablelocalauth. Modifier, Désactivé 1.0.0
Configurer des instances de provisionnement d’appareils IoT Hub pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour être résolue en une instance de service de provisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. DeployIfNotExists, Désactivé 1.0.0
Configurer des instances de service d’approvisionnement d’appareils IoT Hub pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour votre instance de provisionnement d’appareils IoT Hub afin qu’elle ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. Modifier, Désactivé 1.0.0
Configurer des instances de service de provisionnement d’appareils IoT Hub avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés au service d’approvisionnement d’appareils IoT Hub, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. DeployIfNotExists, Désactivé 1.0.0
Déploiement : configurer Azure IoT Hub pour utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub privés. deployIfNotExists, DeployIfNotExists, désactivé, Désactivé 1.1.0
Déploiement : Configurer Azure IoT Hub avec des points de terminaison privés Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Hub afin de permettre aux services de votre réseau virtuel d’atteindre IoT Hub sans que le trafic soit envoyé au point de terminaison public d’IoT Hub. DeployIfNotExists, Désactivé 1.0.0
Déployer – Configurer IoT Central pour utiliser des zones DNS privées Le DNS privé Azure fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter l’ajout de solution DNS personnalisée. Vous pouvez utiliser des zones DNS privées pour remplacer la résolution DNS à l’aide de vos propres noms de domaine personnalisés pour un point de terminaison privé. Cette stratégie déploie une zone DNS privée pour des points de terminaison IoT Hub Central. DeployIfNotExists, Désactivé 1.0.0
Déployer – Configurer IoT Central avec des points de terminaison privés Un point de terminaison privé est une adresse IP privée attribuée à l’intérieur d’un réseau virtuel appartenant au client, qui permet l’accès à une ressource Azure. Cette stratégie déploie un point de terminaison privé pour votre instance IoT Central afin de permettre aux services de votre réseau virtuel d’atteindre IoT Central sans que le trafic soit envoyé au point de terminaison public d’IoT Central. DeployIfNotExists, Désactivé 1.0.0
IoT Central doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre application IoT Central au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/iotcentral-network-security-using-pe. Audit, Refuser, Désactivé 1.0.0
Les instances du service d’approvisionnement d’appareils IoT Hub doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que l’instance de service de provisionnement d’appareils IoT Hub n’est pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition des instances d’approvisionnement d’appareils IoT Hub. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/iotdpsvnet. Audit, Refuser, Désactivé 1.0.0
Les instances de service d’approvisionnement d’appareils IoT Hub doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés au service de provisionnement d’appareils IoT Hub, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/iotdpsvnet. Audit, Désactivé 1.0.0
Modifier - Configurer Azure IoT Hub pour désactiver l’accès au réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. Modifier, Désactivé 1.0.0
Modifier – Configurer IoT Central pour désactiver l'accès réseau public Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données IoT Central n’est accessible qu’à partir d’un point de terminaison privé. Cette stratégie désactive l’accès au réseau public sur les ressources IoT Hub. Modifier, Désactivé 1.0.0
Le point de terminaison privé doit être activé pour IoT Hub Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à IoT Hub. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. Audit, Désactivé 1.0.0
L’accès au réseau public pour Azure Device Update pour les comptes IoT Hub doit être désactivé La désactivation de la propriété d’accès au réseau public améliore la sécurité en veillant à ce que vos comptes Azure Device Update pour IoT Hub soient accessibles uniquement à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
L’accès au réseau public sur Azure IoT Hub doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité, car votre base de données Azure IoT Hub n’est accessible qu’à partir d’un point de terminaison privé. Audit, Refuser, Désactivé 1.0.0
L'accès réseau public doit être désactivé pour IoT Central Pour améliorer la sécurité d’IoT Central, vérifiez qu’il n’est pas exposé à l’Internet public et qu’il est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/iotcentral-restrict-public-access. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans IoT Hub doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 3.0.1

Key Vault

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] :Les clés Azure Key Vault HSM managées doivent avoir une date d’expiration Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les clés Azure Key Vault HSM managées doivent avoir plus de jours que le nombre spécifié de jours avant l’expiration Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les clés HSM managées Azure Key Vault utilisant le chiffrement à courbe elliptique doivent avoir les noms de courbe spécifiés Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les clés Azure Key Vault HSM managées utilisant le chiffrement RSA doit avoir une taille de clé minimale spécifiée Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les HSM gérés par Azure Key Vault doivent désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les HSM gérés par Azure Key Vault doivent utiliser une liaison privée La liaison privée permet de connecter un HSM managé par le Coffre de clés Azure à vos ressources Azure sans envoyer de trafic sur l’Internet public. Un lien privé assure une protection en profondeur contre l’exfiltration des données. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link Audit, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les coffres de clés Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. Audit, Refuser, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : La période de validité maximale des certificats doit être spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant la durée maximale pendant laquelle un certificat peut être valide dans votre coffre de clés. audit, Audit, refus, Refus, désactivé, Désactivé 2.2.0-preview
[Préversion] : [Préversion] : Les certificats ne doivent pas expirer pendant le nombre de jours spécifié Gérez les certificats qui arrivent à expiration dans un nombre de jours spécifié pour que votre organisation ait suffisamment le temps de les remplacer. audit, audit, refus, refus, désactivé, désactivé 2.1.0-preview
[Préversion] : [Préversion] : Configurer un module de sécurité matériel (HSM) managé par Azure Key Vault pour désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre HSM managé par le Coffre de clés Azure ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. Modifier, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer un HSM géré par Azure Key Vault avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un HSM managé par le Coffre de clés Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurez les coffres de clés Azure pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en coffre de clés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer les coffres de clés Azure avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à un coffre de clés, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/akvprivatelink. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Le point de terminaison privé doit être configuré pour Key Vault La liaison privée permet de connecter Key Vault à vos ressources Azure sans envoyer de trafic sur l’Internet public. Un lien privé assure une protection en profondeur contre l’exfiltration des données. Audit, Refuser, Désactivé 1.1.0-preview
La protection contre la suppression définitive doit être activée pour un HSM managé Azure Key Vault La suppression malveillante d’un HSM managé Azure Key Vault peut entraîner une perte de données définitive. Une personne malveillante au sein de votre organisation peut éventuellement supprimer définitivement un HSM managé Azure Key Vault. La protection contre la suppression définitive vous protège des attaques de l’intérieur en appliquant une période de conservation obligatoire à un HSM managé Azure Key Vault supprimé de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne peut supprimer définitivement votre HSM managé Azure Key Vault pendant la période de conservation de la suppression réversible. Audit, Refuser, Désactivé 1.0.0
Azure Key Vault doit désactiver l’accès réseau public Désactivez l’accès réseau public pour que votre coffre de clés ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/akvprivatelink. Audit, Refuser, Désactivé 1.0.0
Azure Key Vault doit avoir le pare-feu activé Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez ensuite configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Refuser, Désactivé 3.0.0
Les certificats doivent être émis par l’autorité de certification intégrée spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification intégrées à Azure qui peuvent émettre des certificats dans votre coffre de clés, comme DigiCert ou GlobalSign. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats doivent être émis par l’autorité de certification non intégrée spécifiée Gérez les exigences en matière de conformité de votre organisation en spécifiant les autorités de certification personnalisées ou internes qui peuvent émettre des certificats dans votre coffre de clés. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats doivent avoir les déclencheurs d’action de durée de vie spécifiés Gérez les exigences en matière de conformité de votre organisation en spécifiant si une action de durée de vie de certificat est déclenchée à un pourcentage spécifique de sa durée de vie ou un certain nombre de jours avant son expiration. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats doivent utiliser des types de clés autorisés Gérez les exigences en matière de conformité de votre organisation en restreignant les types de clés autorisés pour les certificats. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Les certificats utilisant le chiffrement à courbe elliptique doivent avoir des noms de courbe autorisés Gérer les noms de courbe elliptique autorisés pour les certificats ECC stockés dans le coffre de clés. D’autres informations sont disponibles ici : https://aka.ms/akvpolicy. audit, audit, refus, refus, désactivé, désactivé 2.1.0
La taille de clé minimale doit être spécifiée pour les certificats utilisant le chiffrement RSA Gérez les exigences en matière de conformité de votre organisation en spécifiant une taille de clé minimale pour les certificats RSA stockés dans votre coffre de clés. audit, audit, refus, refus, désactivé, désactivé 2.1.0
Configurer les coffres de clés pour activer le pare-feu Activez le pare-feu du coffre de clés pour que le coffre de clés ne soit pas accessible par défaut aux adresses IP publiques. Vous pouvez ensuite configurer des plages d’adresses IP spécifiques pour limiter l’accès à ces réseaux. Plus d’informations sur : https://docs.microsoft.com/azure/key-vault/general/network-security Modifier, Désactivé 1.1.1
Déployer - Configurer les paramètres de diagnostic d’Azure Key Vault dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Azure Key Vault pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.1
Déployer - Configurer les paramètres de diagnostic sur un hub d’événements à activer sur un HSM managé par Azure Key Vault Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un hub d’événements régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Key Vault sur Event Hub Déploie les paramètres de diagnostic de Key Vault pour les envoyer en streaming dans un hub d’événements régional sur tout coffre de clés nouveau ou mis à jour pour lequel les paramètres de diagnostic sont manquants. deployIfNotExists 3.0.0
Les clés Key Vault doivent avoir une date d’expiration Les clés de chiffrement doivent avoir une date d’expiration définie et ne pas être permanentes. Les clés valides indéfiniment offrent à un intrus potentiel plus de temps pour compromettre la clé. Il est recommandé de définir les dates d’expiration des clés de chiffrement. Audit, Refuser, Désactivé 1.0.2
Les secrets Key Vault doivent avoir une date d’expiration Les secrets doivent avoir une date d’expiration définie et ne pas être permanents. Les secrets valides indéfiniment offrent à un attaquant potentiel plus de temps pour les compromettre. Il est recommandé de définir les dates d’expiration des secrets. Audit, Refuser, Désactivé 1.0.2
La protection contre la suppression définitive doit être activée sur les coffres de clés La suppression malveillante d’un coffre de clés peut entraîner une perte définitive des données. Une personne malveillante interne à votre organisation peut potentiellement supprimer et vider des coffres de clés. La protection contre la suppression définitive vous protège des attaques internes en appliquant une période de conservation obligatoire pour les coffres de clés supprimés de manière réversible. Personne au sein de votre organisation ni chez Microsoft ne pourra supprimer définitivement vos coffres de clés pendant la période de conservation de la suppression réversible. Audit, Refuser, Désactivé 2.0.0
La suppression réversible doit être activée sur les coffres de clés La suppression d’un coffre de clés sur lequel la suppression réversible n’est pas activée supprime définitivement tous les secrets, toutes les clés et tous les certificats qui y stockés. La suppression accidentelle d’un coffre de clés peut entraîner la perte définitive des données. La suppression réversible vous permet de récupérer un coffre de clés supprimé accidentellement, pendant une période de conservation configurable. Audit, Refuser, Désactivé 3.0.0
Les clés doivent être adossées à un module de sécurité matériel ou HSM Un HSM est un module de sécurité matériel qui stocke des clés. Un HSM fournit une couche physique de protection des clés de chiffrement. La clé de chiffrement ne peut pas quitter un HSM physique, ce qui offre un niveau de sécurité supérieur à celui d’une clé logicielle. Audit, Refuser, Désactivé 1.0.1
Les clés doivent être du type de chiffrement spécifié, RSA ou EC Certaines applications requièrent l’utilisation de clés utilisant un type de chiffrement spécifique. Appliquez un type de clé de chiffrement particulier, RSA ou EC, dans votre environnement. Audit, Refuser, Désactivé 1.0.1
Les clés doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration Si une clé a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation de la clé peut occasionner une interruption. Les clés doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.1
La période de validité maximale doit être spécifiée pour les clés Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels une clé peut être valide au sein de votre coffre de clés. Audit, Refuser, Désactivé 1.0.1
Les clés ne doivent pas être actives pendant une durée supérieure au nombre de jours spécifié Spécifiez le nombre de jours pendant lesquels une clé doit être active. Les clés utilisées pendant une période prolongée augmentent la probabilité qu’une personne malveillante puisse les compromettre. En guise de bonne pratique de sécurité, assurez-vous que vos clés n’ont pas été actives pendant plus de deux ans. Audit, Refuser, Désactivé 1.0.1
Les clés utilisant un chiffrement à courbe elliptique doivent avoir les noms de courbes spécifiés Les clés reposant sur le chiffrement à courbe elliptique peuvent avoir des noms de courbe différents. Certaines applications sont uniquement compatibles avec des clés de courbe elliptique spécifiques. Appliquez les types de clés de courbe elliptique qui peuvent être créés dans votre environnement. Audit, Refuser, Désactivé 1.0.1
Les clés utilisant le chiffrement RSA doivent avoir une taille minimale spécifiée Définissez la taille de clé minimale autorisée pour une utilisation avec vos coffres de clés. L’utilisation de clés RSA avec de petites tailles de clé n’est pas une pratique sécurisée et ne répond pas à de nombreuses exigences de certification du secteur. Audit, Refuser, Désactivé 1.0.1
Les journaux de ressource dans les HSM managés par Azure Key Vault doivent être activés Pour recréer des traçages d’activité à des fins d’investigation quand un incident de sécurité se produit ou quand votre réseau est compromis, vous pouvez effectuer un audit en activant les journaux de ressources des HSM managés. Suivez les instructions ici : https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans Key Vault doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau AuditIfNotExists, Désactivé 5.0.0
Les secrets doivent avoir un type de contenu défini Une étiquette de type de contenu permet d’identifier si une clé secrète est un mot de passe, une chaîne de connexion, etc. Différents secrets ont différentes exigences de rotation. L’étiquette de type de contenu doit être définie sur secrets. Audit, Refuser, Désactivé 1.0.1
Les secrets doivent avoir une durée de vie supérieure au nombre spécifié de jours avant l’expiration Si un secret a une durée de vie trop proche de l’expiration, un délai organisationnel pour la rotation du secret peut occasionner une interruption. Les secrets doivent faire l’objet d’une rotation un nombre spécifié de jours avant leur expiration, afin d’offrir suffisamment de temps pour réagir en cas de défaillance. Audit, Refuser, Désactivé 1.0.1
La période de validité maximale doit être spécifiée pour les secrets Gérez les exigences en matière de conformité de votre organisation en spécifiant le nombre maximal de jours pendant lesquels un secret peut être valide au sein de votre coffre de clés. Audit, Refuser, Désactivé 1.0.1
Les secrets ne doivent pas être actifs pendant une période plus longue que le nombre spécifié de jours Si vos secrets ont été créés avec une date d’activation définie à l’avenir, vous devez vous assurer que vos secrets n’ont pas été actifs plus longtemps que la durée spécifiée. Audit, Refuser, Désactivé 1.0.1

Kubernetes

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : L’extension Microsoft Defender pour le cloud doit être installée sur les clusters Kubernetes compatibles avec Azure Arc L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : [Préversion] : Les clusters Kubernetes avec Azure Arc doivent avoir l’extension Azure Policy installée L'extension Azure Policy pour Azure Arc fournit des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes compatibles avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : configurez les clusters Kubernetes compatibles avec Azure Arc pour installer l'extension Microsoft Defender pour le cloud L’extension Microsoft Defender pour le cloud pour Azure Arc fournit une protection contre les menaces à vos clusters Kubernetes compatibles avec Arc. L’extension collecte les données de tous les nœuds du cluster et les envoie au back-end Azure Defender pour Kubernetes dans le cloud pour une analyse plus approfondie. En savoir plus sur https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. DeployIfNotExists, Désactivé 7.1.0-preview
[Préversion] : [Préversion] : Configurer les clusters Kubernetes avec Azure Arc pour installer l’extension Azure Policy Déployez l'extension d’Azure Policy pour Azure Arc afin de fournir des mesures d'application et de protection à grande échelle sur vos clusters Kubernetes avec Arc, de manière centralisée et cohérente. Pour en savoir plus, rendez-vous sur https://aka.ms/akspolicydoc. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les clusters Kubernetes doivent contrôler le déploiement d’images vulnérables Protégez vos clusters Kubernetes et vos charges de travail de conteneur contre les menaces potentielles en restreignant le déploiement d’images de conteneur avec des composants logiciels vulnérables. Utilisez l’analyse Azure Defender CI/CD (https://aka.ms/AzureDefenderCICDscanning) et Azure Defender pour les registres de conteneur (https://aka.ms/AzureDefenderForContainerRegistries) pour identifier et corriger les vulnérabilités avant le déploiement. Prérequis de l’évaluation : Addon de stratégie et profil Azure Defender. Applicable uniquement aux clients de la préversion privée. Audit, Refuser, Désactivé 2.0.1-preview
[Préversion] : [Préversion] : Les clusters Kubernetes doivent restreindre la création d’un type de ressource donné Le type de ressource Kubernetes donné ne doit pas être déployé dans certains espaces de noms. Audit, Refuser, Désactivé 2.1.1-preview
Les clusters Kubernetes avec Azure Arc doivent avoir l'extension Azure Policy installée L’extension Open Service Mesh fournit toutes les fonctionnalités de maillage de service standard pour la sécurité, la gestion du trafic et l’observabilité des services d’application. En savoir plus ici ! https://aka.ms/arc-osm-doc DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Les clusters Azure Kubernetes doivent activer le Service de gestion de clés (KMS) Pour la sécurité du cluster Kubernetes, utilisez le service de gestion de clés (KMS) pour chiffrer les données secrètes au repos dans etcd. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks/kmsetcdencryption. Audit, Désactivé 1.0.0
Les clusters Azure Kubernetes doivent utiliser Azure CNI Azure CNI est un prérequis pour certaines fonctionnalités de Azure Kubernetes Service, notamment les stratégies réseau Azure, les pools de nœuds Windows et le module complémentaire de nœuds virtuels. Plus d’informations sur : https://aka.ms/aks-azure-cni Audit, Désactivé 1.0.1
Les clusters Azure Kubernetes Service doivent désactiver l’appel de commande La désactivation de l’appel de commande peut améliorer la sécurité en évitant le contournement de l’accès réseau restreint ou du contrôle d’accès en fonction du rôle Kubernetes Audit, Désactivé 1.0.1
Les clusters Azure Kubernetes Service doivent activer l’intégration Azure Active Directory L’intégration Azure Active Directory géré par AKS peut gérer l’accès aux clusters en configurant le contrôle d’accès en fonction du rôle Kubernetes (RBAC Kubernetes) en fonction de l’identité d’un utilisateur ou de l’appartenance à un groupe d’annuaires. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-managed-aad. Audit, Désactivé 1.0.1
Le profil Defender doit être activé sur les clusters Azure Kubernetes Service Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks Audit, Désactivé 2.0.0
Les méthodes d’authentification locale doivent être désactivées pour les clusters Azure Kubernetes Service La désactivation des méthodes d’authentification locales améliore la sécurité en veillant à ce que les clusters Azure Kubernetes Service nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/aks-disable-local-accounts. Audit, Refuser, Désactivé 1.0.1
Les clusters Azure Kubernetes Service doivent utiliser des identités managées Utilisez des identités managées pour contourner les principaux de service, simplifier la gestion du cluster et éviter la complexité requise pour les principaux de service managés. Plus d’informations sur : https://aka.ms/aks-update-managed-identities Audit, Désactivé 1.0.1
Les clusters privés Azure Kubernetes Service doivent être activés Activez la fonctionnalité de cluster privé pour votre cluster Azure Kubernetes Service pour vous assurer que le trafic réseau entre votre serveur d’API et vos pools de nœuds reste sur le réseau privé uniquement. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
L’extension Azure Policy pour Azure Kubernetes Service (AKS) doit être installée et activée sur vos clusters L’extension Azure Policy pour Azure Kubernetes Service (AKS) étend Gatekeeper v3, webhook de contrôleur d’admission pour Open Policy Agent (OPA), afin d’appliquer des mesures et des protections à grande échelle sur vos clusters de manière centralisée et cohérente. Audit, Désactivé 1.0.2
Les disques de système d’exploitation et de données dans les clusters Azure Kubernetes Service doivent être chiffrés par des clés gérées par le client Le chiffrement des disques de système d’exploitation et de données à l’aide de clés gérées par le client offre davantage de contrôle et de flexibilité dans la gestion des clés. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1
Configurer les clusters de Azure Kubernetes Service intégrés AAD avec l’accès au groupe d’administration requis Veillez à améliorer la sécurité des clusters en régissant de manière centralisée l’accès administrateur à Azure Active Directory clusters AKS intégrés. DeployIfNotExists, Désactivé 2.0.1
Configurer les clusters Azure Kubernetes Service pour activer le profil Defender Microsoft Defender pour Containers offre plusieurs fonctionnalités de sécurité Kubernetes cloud natives, dont le renforcement de l’environnement, la protection de la charge de travail et la protection à l’exécution. Quand vous activez SecurityProfile.AzureDefender sur votre cluster Azure Kubernetes Service, un agent est déployé sur votre cluster pour collecter les données d’événement de sécurité. Apprenez-en davantage sur Microsoft Defender pour Containers dans https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. DeployIfNotExists, Désactivé 4.0.0
Configurer l’installation de l’extension Flux sur un cluster Kubernetes Installer l’extension Flux sur un cluster Kubernetes pour permettre le déploiement de « fluxconfigurations » dans le cluster DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec une configuration Flux v2 à l’aide de la source Bucket et des secrets dans KeyVault Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite une SecretKey Bucket stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et du certificat d’autorité de certification HTTPS Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un certificat d’autorité de certification HTTPS. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.1
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets HTTPS Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite un secret de clé HTTPS stocké dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets locaux Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git et des secrets SSH Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH stockée dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la configuration Flux v2 à l’aide du référentiel Git public Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer des clusters Kubernetes avec la source Bucket Flux v2 spécifiée à l’aide de secrets locaux Déployez « fluxConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Bucket défini. Cette définition nécessite des secrets d’authentification locaux stockés dans le cluster Kubernetes. Pour obtenir des instructions, consultez https://aka.ms/GitOpsFlux2Policy. DeployIfNotExists, Désactivé 1.0.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée avec des secrets HTTPS Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition exige que les secrets d’utilisateur et de clé HTTPS soient stockés dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée sans secret Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition ne nécessite aucun secret. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Configurer les clusters Kubernetes avec la configuration GitOps spécifiée et des secrets SSH Déployez « sourceControlConfiguration » sur des clusters Kubernetes pour vérifier que les clusters reçoivent leur source de confiance pour les charges de travail et les configurations à partir du référentiel Git défini. Cette définition requiert un secret de clé privée SSH dans Key Vault. Pour obtenir des instructions, consultez https://aka.ms/K8sGitOpsPolicy. auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled 1.1.0
Déployer - Configurer les paramètres de diagnostic d’Azure Kubernetes Service dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Azure Kubernetes Service pour envoyer en streaming des journaux de ressource à un espace de travail Log Analytics. DeployIfNotExists, Désactivé 3.0.0
Déployer l’extension Azure Policy sur les clusters Azure Kubernetes Service Utilisez l’extension Azure Policy pour gérer et signaler l’état de conformité de vos clusters Azure Kubernetes Service (AKS). Pour plus d’informations, consultez https://aka.ms/akspolicydoc. DeployIfNotExists, Désactivé 4.0.0
Désactiver l’appel de commande sur les clusters Azure Kubernetes Service La désactivation de l’appel de commande peut améliorer la sécurité en rejetant l’accès invoke-command au cluster DeployIfNotExists, Désactivé 1.0.1
Vérifier que les conteneurs de cluster ont des sondes de préparation ou d’activité configurées Cette stratégie impose que tous les pods aient une préparation et/ou des sondes d’activité configurées. Les types de sondes peuvent être de n’importe quel type : tcpSocket, httpGet et exec. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour obtenir des instructions sur l’utilisation de cette stratégie, consultez https://aka.ms/kubepolicydoc. Audit, Refuser, Désactivé 3.0.1
Les limites de ressources processeur et de mémoire des conteneurs de clusters Kubernetes ne doivent pas dépasser les limites spécifiées Appliquez des limites de ressources processeur et de mémoire au conteneur pour empêcher les attaques d’épuisement des ressources dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.0.1
Les conteneurs de cluster Kubernetes ne doivent pas partager l’espace de noms de l’ID de processus hôte ou l’espace de noms IPC hôte Empêche les conteneurs de pod de partager l’espace de noms de l’ID de processus hôte et l’espace de noms IPC hôte dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.2 et du CIS 5.2.3, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Les conteneurs de cluster Kubernetes ne doivent pas utiliser les interfaces sysctl interdites Les conteneurs de clusters Kubernetes ne doivent pas utiliser les interfaces sysctl interdites. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.0.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils AppArmor autorisés Les conteneurs de clusters Kubernetes doivent utiliser uniquement des profils AppArmor autorisés. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Limitez les fonctionnalités afin de réduire la surface d’attaque des conteneurs dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.8 et du CIS 5.2.9, qui visent à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des fonctionnalités autorisées Utilisez des images provenant de registres approuvés pour réduire le risque d’exposition du cluster Kubernetes aux vulnérabilités inconnues, aux problèmes de sécurité et aux images malveillantes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.0.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement le ProcMountType autorisé Les conteneurs de pods ne peuvent utiliser que les ProcMountTypes autorisés dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.0.1
Les conteneurs de cluster Kubernetes doivent uniquement utiliser une stratégie de tirage (pull) autorisée Restreindre la stratégie de tirage des conteneurs afin de les contraindre à utiliser uniquement des images autorisées lors des déploiements Audit, Refuser, Désactivé 3.0.1
Les conteneurs de cluster Kubernetes doivent utiliser uniquement des profils seccomp autorisés Les conteneurs de pods ne peuvent utiliser que les profils seccomp autorisés dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.0.1
Les conteneurs de cluster Kubernetes doivent s’exécuter avec un système de fichiers racine en lecture seule Exécutez des conteneurs avec un système de fichiers racine en lecture seule pour le protéger contre les modifications au moment de l’exécution avec des fichiers binaires malveillants ajoutés au chemin d’accès dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les volumes FlexVolume de pod de cluster Kubernetes doivent utiliser uniquement des pilotes autorisés Les volumes FlexVolume de pod ne doivent utiliser que des pilotes autorisés dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Les volumes hostPath de pod de cluster Kubernetes doivent utiliser uniquement des chemins d’hôte autorisés Limitez les montages de volume HostPath sur le pod aux chemins d’accès hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS) et pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les pods et les conteneurs de cluster Kubernetes doivent être exécutés uniquement avec des ID d’utilisateur et de groupe approuvés Contrôle les ID d’utilisateur, de groupe principal, de groupe supplémentaire et de groupe de systèmes de fichiers que les pods et les conteneurs peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les conteneurs et pods de cluster Kubernetes doivent utiliser uniquement des options SELinux autorisées Les pods et les conteneurs ne doivent utiliser que des options SELinux autorisées dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.0.1
Les pods de cluster Kubernetes doivent utiliser uniquement les types de volume autorisés Les pods ne peuvent utiliser que des types de volumes autorisés dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité de pod destinées à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Les pods de cluster Kubernetes doivent utiliser uniquement un réseau hôte et une plage de ports approuvés Restreignez l’accès des pods au réseau hôte et à la plage de ports hôtes autorisés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.4, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 6.0.1
Les pods de clusters Kubernetes doivent utiliser les étiquettes spécifiées Utilisez les étiquettes spécifiées pour identifier les pods dans un cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.0.1
Les services de cluster Kubernetes doivent écouter uniquement sur les ports autorisés Limitez l’écoute des services aux ports autorisés pour sécuriser l’accès au cluster Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.0.1
Les services de cluster Kubernetes doivent utiliser uniquement des adresses IP externes autorisées Utilisez des adresses IP externes autorisées pour éviter les attaques potentielles (CVE-2020-8554) dans un cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Le cluster Kubernetes ne doit pas autoriser les conteneurs privilégiés Ne pas autoriser pas la création de conteneurs privilégiés dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.1, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 9.0.1
Le cluster Kubernetes ne doit pas utiliser de pods nus Bloquer l’utilisation des pods nus. Les pods nus ne seront pas replanifiés en cas de défaillance d’un nœud. Les pods doivent être gérés par déploiement, Replicset, Daemonset ou Jobs Audit, Refuser, Désactivé 2.0.1
Les conteneurs Windows de cluster Kubernetes ne doivent pas surengager le processeur et la mémoire Les requêtes de ressources de conteneur Windows doivent être inférieures ou égales à la limite de ressources ou non spécifiées afin d’éviter les sollicitations excessives. Si la mémoire Windows est surprovisionnée, elle traite les pages sur disque, ce qui peut ralentir les performances, au lieu d’arrêter le conteneur avec une mémoire insuffisante Audit, Refuser, Désactivé 2.0.1
Les conteneurs Windows de cluster Kubernetes ne doivent pas s’exécuter en tant que ContainerAdministrator Empêchez l’utilisation de ContainerAdministrator en tant qu’utilisateur pour exécuter les processus de conteneur des pods ou des conteneurs Windows. Cette recommandation est destinée à améliorer la sécurité des nœuds Windows. Pour plus d'informations, consultez https://kubernetes.io/docs/concepts/windows/intro/. Audit, Refuser, Désactivé 1.0.0
Les conteneurs Windows du cluster Kubernetes ne doivent s’exécuter qu’avec un utilisateur et un groupe d’utilisateurs de domaine approuvés Contrôlez l’utilisateur que les pods et conteneurs Windows peuvent utiliser pour s’exécuter dans un cluster Kubernetes. Cette recommandation fait partie des stratégies de sécurité des nœuds Windows destinées à améliorer la sécurité de vos environnements Kubernetes. Audit, Refuser, Désactivé 2.0.1
Les clusters Kubernetes doivent être accessibles uniquement par le biais de HTTPS L’utilisation de HTTPS garantit l’authentification et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. Cette capacité est actuellement en disponibilité générale pour Kubernetes Service (AKS) et en préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc audit, Audit, refus, Refus, désactivé, Désactivé 8.0.1
Les clusters Kubernetes doivent désactiver le montage automatique des informations d’identification d’API Désactivez le montage automatique des informations d’identification d’API pour empêcher une ressource Pod potentiellement compromise d’exécuter des commandes d’API sur des clusters Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.0.1
Les clusters Kubernetes ne doivent pas autoriser la réaffectation de privilèges de conteneur N’autorisez pas les conteneurs à s’exécuter avec une élévation des privilèges vers la racine dans un cluster Kubernetes. Cette recommandation fait partie du CIS 5.2.5, qui vise à améliorer la sécurité de vos environnements Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 7.0.1
Les clusters Kubernetes ne doivent pas autoriser les autorisations de modification de point de terminaison de ClusterRole/system:aggregate-to-edit ClusterRole/system:aggregate-to-edit ne doit pas autoriser les autorisations de modification de point de terminaison en raison de la vulnérabilité CVE-2021-25740.& Les autorisations Endpoint et EndpointSlice permettent le transfert entre les espaces de noms, https://github.com/kubernetes/kubernetes/issues/103675. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. Audit, Désactivé 3.0.1
Les clusters Kubernetes ne doivent pas accorder de fonctionnalités de sécurité CAP_SYS_ADMIN Pour réduire la surface d’attaque de vos conteneurs, limitez les fonctionnalités Linux CAP_SYS_ADMIN. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Les clusters Kubernetes ne doivent pas utiliser de fonctionnalités de sécurité spécifiques N’utilisez pas des fonctionnalités de sécurité spécifiques dans les clusters Kubernetes pour bloquer les privilèges non accordés sur la ressource Pod. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 5.0.1
Les clusters Kubernetes ne doivent pas utiliser l’espace de noms par défaut Empêchez l’utilisation de l’espace de noms par défaut dans les clusters Kubernetes pour éviter tout accès non autorisé aux types de ressources ConfigMap, Pod, Secret, Service et ServiceAccount. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 4.0.1
Les clusters Kubernetes doivent utiliser le pilote Container Storage Interface(CSI) StorageClass CSI (Container Storage Interface) est une norme pour exposer des systèmes de stockage de blocs et de fichiers arbitraires à des charges de travail conteneurisées sur Kubernetes. StorageClass dans l’arborescence doit être déconseillé depuis AKS version 1.21. Pour en savoir plus, https://aka.ms/aks-csi-driver Audit, Refuser, Désactivé 2.0.1
Les clusters Kubernetes doivent utiliser des équilibreurs de charge internes Utilisez un équilibreur de charge interne pour rendre un service Kubernetes accessible uniquement aux applications qui s’exécutent dans le même réseau virtuel que le cluster Kubernetes. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. audit, Audit, refus, Refus, désactivé, Désactivé 8.0.1
Les ressources Kubernetes doivent avoir les annotations requises Assurez-vous que les annotations requises sont attachées à un type de ressource Kubernetes donné pour améliorer la gestion des ressources de vos ressources Kubernetes. Cette stratégie est généralement disponible pour Kubernetes Service (AKS), et la préversion pour Kubernetes avec Azure Arc. Pour plus d’informations, consultez https://aka.ms/kubepolicydoc. Audit, Refuser, Désactivé 3.0.1
Les journaux de ressources dans Azure Kubernetes Service doivent être activés Les journaux de ressources d’Azure Kubernetes Service permettent de recréer des traçages d’activité durant l’investigation d’incidents de sécurité. Activez-les pour avoir la garantie de pouvoir en disposer quand cela est nécessaire AuditIfNotExists, Désactivé 1.0.0
Les disques temporaires et le cache pour les pools de nœuds d’agent dans les clusters Azure Kubernetes Service doivent être chiffrés sur l’hôte Pour améliorer la sécurité des données, les données stockées sur l’hôte de machine virtuelle de vos machines virtuelles de nœuds Azure Kubernetes Service doivent être chiffrées au repos. Il s’agit d’une exigence courante dans de nombreuses normes de conformité réglementaires et sectorielles. Audit, Refuser, Désactivé 1.0.1

Lab Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Lab Services doit activer toutes les options d’arrêt automatique Cette stratégie facilite la gestion des coûts en appliquant l’activation de toutes les options d’arrêt automatique pour un labo. Audit, Refuser, Désactivé 1.1.0
Lab Services ne doit pas autoriser les machines virtuelles modèles pour les labos Cette stratégie empêche la création et la personnalisation d’un modèle de machines virtuelles pour les labos gérés via Lab Services. Audit, Refuser, Désactivé 1.1.0
Lab Services doit exiger un utilisateur non administrateur pour les labos Cette stratégie nécessite la création de comptes d’utilisateurs non administrateurs pour les labos gérés par le biais de lab-services. Audit, Refuser, Désactivé 1.1.0
Lab Services doit restreindre les tailles de référence SKU de machine virtuelle autorisées Cette stratégie vous permet de restreindre certaines références SKU de machine virtuelle de calcul pour les laboratoires gérés via Lab Services. Cela limitera la taille de certaines machines virtuelles. Audit, Refuser, Désactivé 1.1.0

Lighthouse

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Autoriser l’intégration des ID de locataires gérants dans Azure Lighthouse La restriction des délégations Azure Lighthouse à des locataires gérants spécifiques durcit la sécurité en limitant les personnes autorisées à gérer vos ressources Azure. deny 1.0.1
Auditer la délégation d’étendues sur un locataire gérant Auditez la délégation d’étendues sur un locataire gérant via Azure Lighthouse. Audit, Désactivé 1.0.0

Logic Apps

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’environnement de service d’intégration Logic Apps doit être chiffré avec des clés gérées par le client Effectuez des déploiements dans un environnement de service d’intégration pour gérer le chiffrement au repos des données Logic Apps avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Refuser, Désactivé 1.0.0
Logic Apps doit être déployé dans un environnement de service d’intégration Le déploiement de Logic Apps dans un environnement de service d’intégration au sein d’un réseau virtuel déverrouille les fonctionnalités avancées Logic Apps de sécurité et de réseau, et vous permet de mieux contrôler votre configuration réseau. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/integration-service-environment. Le déploiement dans un environnement de service d’intégration permet également de chiffrer les données avec des clés gérées par le client, ce qui améliore la protection des données en vous permettant de gérer vos clés de chiffrement. Cette configuration permet souvent de répondre aux exigences de conformité. Audit, Refuser, Désactivé 1.0.0
Les journaux de ressources dans Logic Apps doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Machine Learning

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Auditer Azure Machine Learning cluster de calcul et l’instance se trouvent derrière un réseau virtuel Le déploiement du Réseau virtuel Azure fournit une sécurité et une isolation améliorées pour vos clusters et instances de calcul Azure Machine Learning, ainsi que des sous-réseaux, des stratégies de contrôle d’accès et d’autres fonctionnalités permettant de restreindre davantage l’accès. Lorsqu’une instance de calcul Azure Machine Learning est configurée avec un réseau virtuel, elle n’est pas adressable publiquement et elle est accessible uniquement à partir de machines virtuelles et d’applications figurant dans le réseau virtuel. Audit, Désactivé 1.0.0
La capacité de calcul Azure Machine Learning doit s’arrêter en cas d’inactivité. Le fait de planifier un arrêt en cas d’inactivité réduit les coûts en arrêtant les calculs inactifs après une période d’activité prédéfinie. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent être chiffrés au moyen d’une clé gérée par le client Gérez le chiffrement au repos des données de votre espace de travail Azure Machine Learning à l’aide de clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/azureml-workspaces-cmk. Audit, Refuser, Désactivé 1.0.3
Les espaces de travail Azure Machine Learning doivent désactiver l’accès au réseau public La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que les espaces de travail Machine Learning ne soient pas exposés sur l’Internet public. Vous pouvez limiter l’exposition de vos espaces de travail en créant des points de terminaison privés à la place. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Audit, Refuser, Désactivé 2.0.0
Les espaces de travail Azure Machine Learning doivent activer V1LegacyMode pour prendre en charge la compatibilité descendante de l’isolement réseau. Azure ML effectue une transition vers une nouvelle plateforme d’API V2 sur Azure Resource Manager et vous pouvez contrôler la version de la plateforme d’API à l’aide du paramètre V1LegacyMode. L’activation du paramètre V1LegacyMode vous permet de conserver vos espaces de travail dans la même isolation réseau que V1, bien que vous n’utilisiez pas les nouvelles fonctionnalités V2. Nous vous recommandons d’activer le mode hérité V1 uniquement lorsque vous souhaitez conserver les données du plan de contrôle AzureML à l’intérieur de vos réseaux privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/V1LegacyMode. Audit, Refuser, Désactivé 1.0.0
Les espaces de travail Azure Machine Learning doivent utiliser un lien privé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. Le fait de mapper les points de terminaison privés avec des espaces de travail Azure Machine Learning permet de réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Refuser, Désactivé 1.1.0
Les espaces de travail Azure Machine Learning doivent utiliser une identité managée affectée par l'utilisateur Gérez l’accès à l’espace de travail Azure ML et aux ressources associées, Azure Container Registry, KeyVault, Stockage et App Insights à l’aide de l’identité managée affectée par l’utilisateur. Par défaut, l’identité managée affectée par le système est utilisée par l’espace de travail Azure ML pour accéder aux ressources associées. L’identité managée affectée par l’utilisateur vous permet de créer l’identité en tant que ressource Azure et de tenir à jour le cycle de vie de cette identité. Pour en savoir plus, rendez-vous sur https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. Audit, Refuser, Désactivé 1.0.0
Configurer l’espace de travail Azure Machine Learning pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de travail Azure Machine Learning. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. DeployIfNotExists, Désactivé 1.0.0
Configurer les espaces de travail Azure Machine Learning pour désactiver l’accès au réseau public Désactivez l’accès au réseau public pour les espaces de travail Azure Machine Learning afin que ceux-ci ne soient pas accessibles via l’internet public. Cela permettra de protéger les espaces de travail contre les risques de fuite de données. Pour limiter l’exposition de vos espaces de travail Machine Learning, créez plutôt des points de terminaison privés. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privateendpoints. Modifier, Désactivé 1.0.0
Configurer les espaces de travail Azure Machine Learning avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre espace de travail Azure Machine Learning, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. DeployIfNotExists, Désactivé 1.0.0
Configurer les capacités de calcul Machine Learning pour désactiver les méthodes d’authentification locales Désactivez les méthodes d’authentification d’emplacement de sorte que vos capacités de calcul Machine Learning nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. Modifier, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour les capacités de calcul Machine Learning La désactivation des méthodes d’authentification locale renforce la sécurité en veillant à ce que les capacités de calcul Machine Learning nécessitent des identités Azure Active Directory exclusivement pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-ml-aad-policy. Audit, Refuser, Désactivé 1.0.0

Application managée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La définition d’application de l’application managée doit utiliser le compte de stockage fourni par le client Utilisez votre propre compte de stockage pour contrôler les données de définition d’application lorsqu’il s’agit d’une condition de réglementation ou de conformité requise. Vous pouvez choisir de stocker la définition de votre application managée dans un compte de stockage fourni par vos soins lors de la création, de manière à gérer entièrement son emplacement et son accès et répondre ainsi aux conditions de réglementation ou de conformité requises. audit, audit, refus, refus, désactivé, désactivé 1.1.0
Déployer des associations pour une application managée Déploie une ressource d’association qui associe les types de ressources sélectionnés à l’application managée spécifiée. Ce déploiement de stratégie ne prend pas en charge les types de ressources imbriqués. deployIfNotExists 1.0.0

Identité managée

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion]: [Préversion]: Attribuer une identité managée affectée par l’utilisateur intégrée à des groupes de machines virtuelles identiques Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux groupes de machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.2-preview
[Préversion]: [Préversion]: Attribuer une identité managée affectée par l’utilisateur intégrée à des machines virtuelles Créez et affectez une identité managée affectée par l’utilisateur intégrée ou attribuez une identité managée affectée par l’utilisateur à grande échelle aux machines virtuelles identiques. Pour obtenir une documentation plus détaillée, consultez aka.ms/managedidentitypolicy. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.2-preview

Maps

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
CORS ne doit pas autoriser toutes les ressources à accéder à votre compte de mappage. Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre compte de mappage. Autorisez uniquement les domaines requis à interagir avec votre compte de mappage. Désactivé, Audit, Refuser 1.0.0

Media Services

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les comptes Azure Media Services doivent désactiver l’accès au réseau public La désactivation de l’accès au réseau public améliore la sécurité en garantissant que les ressources Media Services ne sont pas exposées sur le réseau Internet public. La création de points de terminaison privés peut limiter l’exposition des ressources Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Media Services doivent utiliser une API qui prend en charge Private Link Les comptes Media Services doivent être créés avec une API qui prend en charge la liaison privée. Audit, Refuser, Désactivé 1.0.0
Les comptes Azure Media Services qui autorisent l’accès à l’API v2 héritée doivent être bloqués L’API héritée Media Services v2 autorise les requêtes qui ne peuvent pas être managées à l’aide d’Azure Policy. Les ressources Media Services créées à l’aide de l’API 2020-05-01 ou version ultérieure bloquent l’accès à l’API v2 héritée. Audit, Refuser, Désactivé 1.0.0
Les stratégies de clé de contenu Azure Media Services doivent utiliser l’authentification par jeton Les stratégies de clés de contenu définissent les conditions requises pour accéder aux clés de contenu. Une restriction par jeton garantit que les clés de contenu sont accessibles uniquement aux utilisateurs qui ont des jetons valides à partir d’un service d’authentification, par exemple Azure Active Directory. Audit, Refuser, Désactivé 1.0.0
Les tâches Azure Media Services avec des entrées HTTPS doivent limiter les URI d’entrée aux modèles d’URI autorisés Restreignez les entrées HTTPS utilisées par les tâches Media Services aux points de terminaison connus. Les entrées des points de terminaison HTTPS peuvent être entièrement désactivées en définissant une liste vide de modèles d’entrée de tâche autorisés. Quand les entrées de tâche spécifient un « baseUri », les modèles sont comparés à cette valeur. Quand « baseUri » n’est pas défini, le modèle est mis en correspondance avec la propriété « files ». Deny, Disabled 1.0.1
Azure Media Services doit utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos des données de vos comptes Media Services. Par défaut, les données client sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre aux normes de conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Pour en savoir plus, rendez-vous sur https://aka.ms/mediaservicescmkdocs. Audit, Refuser, Désactivé 1.0.0
Azure Media Services doit utiliser une liaison privée Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure Media Services pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel à résoudre en compte Media Services. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Media Services avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à Media Services, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/mediaservicesprivatelinkdocs. DeployIfNotExists, Désactivé 1.0.0

Migrate

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Configurer des ressources Azure Migrate pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en votre projet Azure Migrate. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0

Surveillance

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Configurer les machines Linux Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Linux Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer les machines Windows Azure Arc avec des agents Log Analytics connectés à l’espace de travail Log Analytics par défaut Protégez vos machines Windows Azure Arc avec les fonctionnalités de Microsoft Defender pour le cloud en installant des agents Log Analytics qui envoient des données à un espace de travail Log Analytics par défaut créé par Microsoft Defender pour le cloud. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : Configurer Dependency Agent sur serveurs Linux avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : Configurer Dependency Agent sur serveurs Windows avec Azure Arc avec les paramètres de l’agent Azure Monitoring Agent Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l’extension de machine virtuelle de Dependency Agent avec les paramètres Azure Monitoring Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : [Préversion] : Configurer l’identité managée affectée par le système pour activer les affectations d’Azure Monitor sur les machines virtuelles Configurez une identité managée affectée par le système pour les machines virtuelles qui sont hébergées dans Azure et prises en charge par Azure Monitor, mais qui n’ont pas d’identité managée affectée par le système. Une identité managée attribuée par le système est un prérequis pour toutes les affectations Azure Monitor ; elle doit être ajoutée aux machines avant d’utiliser une quelconque extension Azure Monitor. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. Modifier, Désactivé 6.0.0-preview
[Préversion] : Déployer une règle de collecte de données VMInsights et une association de règles de collecte de données pour toutes les machines virtuelles dans le groupe de ressources Déployer une règle de collecte de données pour VMInsights et déployer une association de règles de collecte de données pour toutes les machines virtuelles du groupe de ressources. La stratégie demande si l’activation des processus et des dépendances est requise et crée en conséquence le DCR. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : Déployer une règle de collecte de données VMInsights et une association de règles de collecte de données pour tous les groupes de machines virtuelles identiques dans le groupe de ressources Déployez une règle de collecte de données pour VMInsights et déployez l’association de règles de collecte de données pour tous les VMSS du groupe de ressources. La stratégie demande si l’activation des processus et des dépendances est requise et crée en conséquence le DCR. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : Déployer une règle de collecte de données VMInsights et une association de règles de collecte de données pour les machines Arc dans le groupe de ressources Déployez une règle de collecte de données pour VMInsights et déployez l’association de règles de collecte de données pour toutes les machines Arc dans le groupe de ressources. La stratégie demande si l’activation des processus et des dépendances est requise et crée en conséquence le DCR. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux avec les paramètres d’agent Azure Monitoring Déployez Dependency Agent pour les groupe de machines virtuelles identiques Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. DeployIfNotExists, Désactivé 3.0.0-preview
[Préversion] : Déployer Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring Déployez Dependency Agent pour les machines virtuelles Linux avec les paramètres d’argent Azure Monitoring si l’image de machine virtuelle (OS) figure dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 3.0.0-preview
[Préversion] : Déployer Dependency Agent à activer sur les groupes de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor Déployez Dependency Agent pour les groupe de machines virtuelles identiques Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : Déployer Dependency Agent à activer sur les machines virtuelles Windows avec les paramètres d’agent Azure Monitor Déployez Dependency Agent pour les machines virtuelles Windows avec les paramètres d’agent Azure Monitor si l’image de machine virtuelle figure dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : [Préversion] : L’extension Log Analytics doit être activée pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de la machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1-preview
[Préversion] : [Préversion] : L’extension Log Analytics doit être installée sur vos machines Linux Azure Arc Cette stratégie audite les machines Linux Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : [Préversion] : L’extension Log Analytics doit être installée sur vos machines Windows Azure Arc Cette stratégie audite les machines Windows Azure Arc si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1-preview
[Préversion] : [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Linux Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
[Préversion] : [Préversion] : L’agent de collecte de données sur le trafic réseau doit être installé sur les machines virtuelles Windows Security Center utilise Microsoft Dependency Agent pour collecter les données du trafic réseau sur vos machines virtuelles Azure, afin d’activer des fonctionnalités avancées de protection réseau : visualisation du trafic sur le plan du réseau, recommandations de durcissement de la sécurité réseau et menaces réseau spécifiques. AuditIfNotExists, Désactivé 1.0.2-preview
Le journal d’activité doit être conservé pendant au moins un an Cette stratégie audite le journal d’activité si la conservation n’est pas définie sur 365 jours ou sur toujours (jours de conservation définis sur 0). AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations d’administration spécifiques Cette stratégie audite des opérations d’administration spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Une alerte de journal d’activité doit exister pour des opérations de stratégie spécifiques Cette stratégie audite toute opération de stratégie spécifique sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 3.0.0
Une alerte de journal d’activité doit exister pour des opérations de sécurité spécifiques Cette stratégie audite des opérations de sécurité spécifiques sans aucune alerte de journal d’activité configurée. AuditIfNotExists, Désactivé 1.0.0
Les composants Application Insights doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics Améliorez Application Insights en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de ce composant. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les composants Application Insights doivent bloquer l’ingestion non Azure Active Directory. L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. Refus, Audit, Désactivation 1.0.0
Les composants d’Application Insights avec un lien privé activé doivent utiliser les mêmes comptes de stockage pour le profileur et le débogueur. Pour prendre en charge les stratégies de liaison privée et de clé gérée par le client, créez votre propre compte de stockage pour le profileur et le débogueur. En savoir plus sur https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage Refus, Audit, Désactivation 1.0.0
Auditer le paramètre de diagnostic Auditez le paramètre de diagnostic pour les types de ressources sélectionnés AuditIfNotExists 2.0.0
Les journaux de ressource doivent être activés pour Azure Application Gateway Activez les journaux de ressources pour Azure Application Gateway (plus WAF) et envoyez-les en streaming vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. AuditIfNotExists, Désactivé 1.0.0
Les journaux de ressource doivent être activés pour Azure Front Door Activez les journaux de ressources pour Azure Front Door (plus WAF) et envoyez-les en streaming vers un espace de travail Log Analytics. Bénéficiez d’une visibilité détaillée du trafic web entrant et des actions prises pour atténuer les attaques. AuditIfNotExists, Désactivé 1.0.0
Les alertes Recherche dans les journaux Azure sur les espaces de travail Log Analytics doivent utiliser des clés gérées par le client Veillez à ce que les alertes Recherche dans les journaux Azure implémentent des clés gérées par le client, en stockant le texte de la requête à l’aide du compte de stockage fourni par le client pour l’espace de travail Log Analytics interrogé. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. Audit, Désactivé, Refus 1.0.0
Le profil de journal Azure Monitor doit collecter des journaux pour les catégories « écriture », « suppression » et « action » Cette stratégie garantit qu’un profil de journal collecte les journaux pour les catégories « write », « delete » et « action » AuditIfNotExists, Désactivé 1.0.0
Les clusters de journaux Azure Monitor doivent être créés avec le chiffrement d’infrastructure activé (chiffrement double) Pour que le chiffrement des données sécurisées soit activé au niveau du service et de l’infrastructure avec deux algorithmes de chiffrement différents et deux clés différentes, utilisez un cluster Azure Monitor dédié. Cette option est activée par défaut quand elle est prise en charge dans la région ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les clusters de journaux Azure Monitor doivent être chiffrés avec une clé gérée par le client Créez un cluster de journaux Azure Monitor avec un chiffrement au moyen de clés gérées par le client. Par défaut, les données des journaux sont chiffrées avec des clés gérées par le service, mais des clés gérées par le client sont généralement requises pour répondre à la conformité réglementaire. La clé gérée par le client dans Azure Monitor vous donne davantage de contrôle sur l’accès à vos données ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les journaux Azure Monitor pour Application Insights doivent être liés à un espace de travail Log Analytics Liez le composant Application Insights à un espace de travail Log Analytics pour le chiffrement des journaux. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos données dans Azure Monitor. Si vous liez votre composant à un espace de travail Log Analytics qui est activé avec une clé gérée par le client, vous êtes sûr que vos journaux Application Insights répondent à cette exigence de conformité ; consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, audit, refus, refus, désactivé, désactivé 1.1.0
L’étendue de liaison privée Azure Monitor doit bloquer l’accès aux ressources de liaison non privées Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Audit, Refuser, Désactivé 1.0.0
L’étendue de liaison privée d’Azure Monitor doit utiliser un lien privé Azure Private Link vous permet de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. AuditIfNotExists, Désactivé 1.0.0
Azure Monitor doit collecter les journaux d’activité dans toutes les régions Cette stratégie effectue l’audit du profil de journal Azure Monitor qui n’exporte pas d’activités à partir de toutes les régions Azure prises en charge, notamment la région globale. AuditIfNotExists, Désactivé 2.0.0
La solution 'Security and Audit' d’Azure Monitor doit être déployée Cette stratégie garantit que la solution Security and Audit est déployée. AuditIfNotExists, Désactivé 1.0.0
Les abonnements Azure doivent avoir un profil de journal pour le journal d’activité Cette stratégie garantit l’activation d’un profil de journal pour l’exportation des journaux d’activité. Elle vérifie si aucun profil de journal n’a été créé pour exporter les journaux vers un compte de stockage ou un hub d’événements. AuditIfNotExists, Désactivé 1.0.0
Configurer les journaux d’activité Azure dans le flux vers l’espace de travail Log Analytics spécifié Déploie les paramètres de diagnostic de l’activité Azure sur les journaux d’audit des abonnements de flux dans un espace de travail Log Analytics pour surveiller les événements au niveau de l’abonnement DeployIfNotExists, Désactivé 1.0.0
Configurer les composants Azure Application pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux Désactivez l’ingestion et l’interrogation des journaux des composants à partir des réseaux publics pour améliorer la sécurité. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-application-insights. Modifier, Désactivé 1.1.0
Configurer des espaces de travail Azure Log Analytics pour désactiver l’accès au réseau public pour l’ingestion et l’interrogation des journaux Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. Modifier, Désactivé 1.1.0
Configurer l’étendue de liaison privée Azure Monitor pour bloquer l’accès aux ressources de liaison non privées Le lien privé Azure vous permet de connecter vos réseaux virtuels à des ressources Azure via un point de terminaison privé à une étendue de liaison privée Azure Monitor. Les modes d’accès aux liens privés sont définis sur votre Étendue de liaison privée Azure Monitor pour contrôler si les demandes d’ingestion et de requête de vos réseaux peuvent atteindre toutes les ressources, ou uniquement les ressources de lien privé (pour empêcher l’exfiltration de données). En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. Modifier, Désactivé 1.0.0
Configurer l’étendue de liaison privée d’Azure Monitor pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en étendue de liaison privée Azure Monitor. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. DeployIfNotExists, Désactivé 1.0.0
Configurer les étendues de liens privés d’Azure Monitor avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter vos réseaux virtuels aux services Azure sans adresse IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à l’étendue de liaison privée d’Azure Monitor, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. DeployIfNotExists, Désactivé 1.0.0
Configurer Dependency Agent sur les serveurs Linux avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.0.0
Configurer Dependency Agent sur les serveurs Windows avec Azure Arc Activez VM Insights sur les serveurs et ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de Dependency Agent. VM Insights utilise Dependency Agent pour collecter des métriques réseau et des données découvertes sur les processus en cours d'exécution sur l’ordinateur et les dépendances de processus externes. En savoir plus : https://aka.ms/vminsightsdocs. DeployIfNotExists, Désactivé 2.0.0
Configurer les machines Linux Arc à associer à une règle de collecte de données Déployez l’association pour lier les machines virtuelles Linux Arc à la règle de collecte de données spécifiée. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.1
Configurer des machines Linux avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Linux avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si la région est prise en charge. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.1.0
Configurer les machines Linux à associer à une règle de collecte de données Déployez l’Association pour lier des machines virtuelles Linux, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 5.0.0
Configurer les Virtual Machine Scale Sets Linux à associer à une règle de collecte de données Déployez l’association pour lier les groupes de machines virtuelles identiques Linux à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 3.0.0
Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.0.0
Configurer des groupes de machines virtuelles identiques Linux pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.0.0
Configurer des Machines virtuelles Linux à associer à une règle de collecte de données Déployez l’association pour lier les machines virtuelles Linux à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 3.0.0
Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.0.0
Configurer les machines virtuelles Linux pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Linux pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.0.0
Configurer l’extension Log Analytics sur des serveurs Linux activés pour Azure Arc. Voir l’avis de dépréciation ci-dessous Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace DeployIfNotExists, Désactivé 2.1.1
Configurer l’extension Log Analytics sur des serveurs Windows avec Azure Arc Activez des insights de machines virtuelles sur des serveurs et des ordinateurs connectés à Azure par le biais de serveurs avec Arc en installant l'extension de machine virtuelle de l'agent Log Analytics. VM Insights utilise l'agent Log Analytics pour collecter les données de performances du système d'exploitation invité afin de fournir des insights sur ses performances. En savoir plus : https://aka.ms/vminsightsdocs. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 2.1.1
Configurer un espace de travail Log Analytics et le compte Automation pour centraliser les journaux et la surveillance Déployez le groupe de ressources contenant un espace de travail Log Analytics et le compte Automation lié pour centraliser les journaux et la surveillance. Le compte Automation est un prérequis pour des solutions telles que les mises à jour et Change Tracking. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.0
Configurer les machines Windows Arc à associer à une règle de collecte de données Déployez l’association pour lier les machines Windows Arc à la règle de collecte de données spécifiée. La liste des emplacements est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.0.1
Configurer des machines Windows avec Arc pour exécuter l’agent Azure Monitor Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines Windows avec Arc pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 2.1.0
Configurer les ordinateurs Windows à associer à une règle de collecte de données Déployez l’Association pour lier des machines virtuelles Windows, des groupes de machines virtuelles identiques et des machines Arc à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 2.1.0
Configurer Windows Virtual Machine Scale Sets à associer à une règle de collecte de données Déployez l’association pour lier les groupes de machines virtuelles identiques Windows à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.1.0
Configurer des groupes de machines virtuelles identiques Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 3.1.0
Configurer des groupes de machines virtuelles identiques Windows pour exécuter l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos groupes de machines virtuelles identiques Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.1.0
Configurer des Machines virtuelles Windows à associer à une règle de collecte de données Déployez l’association pour lier les machines virtuelles Windows à la règle de collecte de données spécifiée. La liste des emplacements et des images de système d’exploitation est mise à jour au fil du temps, à mesure que la prise en charge augmente. DeployIfNotExists, Désactivé 1.1.0
Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor à l’aide de l’identité managée affectée par le système Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension si le système d’exploitation et la région sont pris en charge et que l’identité managée affectée par le système est activée, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 4.1.0
Configurer les machines virtuelles Windows pour qu’ils exécutent l’agent Azure Monitor avec l’authentification basée sur l’identité managée affectée par l’utilisateur Automatisez le déploiement de l’extension de l’agent Azure Monitor sur vos machines virtuelles Windows pour la collecte de données de télémétrie à partir du système d’exploitation invité. Cette stratégie installe l’extension et la configure pour utiliser l’identité managée affectée par l’utilisateur spécifiée si le système d’exploitation et la région sont pris en charge, et ignore l’installation dans le cas contraire. En savoir plus : https://aka.ms/AMAOverview. DeployIfNotExists, Désactivé 1.1.0
Dependency Agent doit être activé pour les images de machine virtuelle listées Signale les machines virtuelles comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. AuditIfNotExists, Désactivé 2.0.0
Dependency Agent doit être activé dans les groupes de machines virtuelles identiques pour les images de machine virtuelle listées Signale les groupes de machines virtuelles identiques comme non conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’agent n’est pas installé. La liste d’images de système d’exploitation fait l’objet de mises à jour en même temps que le support. AuditIfNotExists, Désactivé 2.0.0
Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les groupes de machines virtuelles identiques Windows Déployez Dependency Agent pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. DeployIfNotExists, Désactivé 3.1.0
Déploiement : Configurer Dependency Agent pour qu’il soit activé sur les machines virtuelles Windows Déployez Dependency Agent pour les machines virtuelles Windows si l’image de machine virtuelle est dans la liste définie et que l’agent n’est pas installé. DeployIfNotExists, Désactivé 3.1.0
Déployer - Configurer les paramètres de diagnostic sur un espace de travail Log Analytics à activer sur un HSM managé par Azure Key Vault Déploie les paramètres de diagnostic de HSM managé par Azure Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un HSM managé par Azure Key Vault nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des groupes de machines virtuelles identiques Windows Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Si l’upgradePolicy de votre groupe identique est définie sur Manuelle, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en les mettant à jour. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 3.0.1
Déployer - Configurer l’extension Log Analytics pour qu’elle soit activée sur des machines virtuelles Windows Déployez l’extension Log Analytics pour les machines virtuelles Windows si l’image de machine virtuelle figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer vers « Agent Azure Monitor » avant cette date. DeployIfNotExists, Désactivé 3.0.1
Déployer Dependency Agent pour les groupes de machines virtuelles identiques Linux Déployez Dependency Agent pour les groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (OS) est dans la liste définie et que l’agent n’est pas installé. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. deployIfNotExists 5.0.0
Déployer Dependency Agent pour les machines virtuelles Linux Déployez Dependency Agent pour les machines virtuelles Linux si l’image de machine virtuelle (SE) est dans la liste définie et que l’agent n’est pas installé. deployIfNotExists 5.0.0
Déployer les paramètres de diagnostic de compte Batch sur Event Hub Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un hub d’événements régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de compte batch sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de compte Batch à envoyer en streaming à un espace de travail Log Analytics régional quand un compte Batch nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Data Lake Analytics sur Event Hub Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un hub d’événements régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Data Lake Analytics sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Data Lake Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur Event Hub Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un hub d’événements régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Data Lake Storage Gen1 sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Data Lake Storage Gen1 à envoyer en streaming à un espace de travail Log Analytics régional quand un service Data Lake Storage Gen1 nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic d’Event Hub sur Event Hub Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un hub d’événements régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.1.0
Déployer les paramètres de diagnostic d’Event Hub sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic d’Event Hub à envoyer en streaming à un espace de travail Log Analytics régional quand un hub d’événements nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Key Vault sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Key Vault à envoyer en streaming à un espace de travail Log Analytics régional quand un coffre de clés nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 3.0.0
Déployer les paramètres de diagnostic de Logic Apps sur Event Hub Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un hub d’événements régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Logic Apps sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Logic Apps à envoyer en streaming à un espace de travail Log Analytics régional quand un service Logic Apps nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer des paramètres de diagnostic pour les groupes de sécurité réseau Cette stratégie déploie automatiquement les paramètres de diagnostic sur les groupes de sécurité réseau. Un compte de stockage portant le nom « {storagePrefixParameter}{NSGLocation} » est automatiquement créé. deployIfNotExists 2.0.0
Déployer les paramètres de diagnostic des services de recherche sur Event Hub Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un hub d’événements régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic des services de recherche sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services de recherche à envoyer en streaming à un espace de travail Log Analytics régional quand un service de recherche nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployer les paramètres de diagnostic de Service Bus sur Event Hub Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un hub d’événements régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Service Bus sur un espace de travail Log Analytics Déploie les paramètres de diagnostic de Service Bus à envoyer en streaming à un espace de travail Log Analytics régional quand un Service Bus nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Stream Analytics sur Event Hub Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un hub d’événements régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 2.0.0
Déployer les paramètres de diagnostic de Stream Analytics sur l’espace de travail Log Analytics Déploie les paramètres de diagnostic de Stream Analytics à envoyer en streaming à un espace de travail Log Analytics régional quand un service Stream Analytics nouveau ou mis à jour n’a pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 1.0.0
Déployez l’extension Log Analytics pour les groupes de machines virtuelles identiques Linux. Voir l’avis de dépréciation ci-dessous Déployez l’extension Log Analytics pour des groupes de machines virtuelles identiques Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Remarque : Si la valeur upgradePolicy du groupe identique est définie sur Manuel, vous devez appliquer l’extension à toutes les machines virtuelles du groupe en appelant une mise à niveau. Dans l’interface de ligne de commande, cela se traduirait par az vmss update-instances. Avis de dépréciation : l’agent Log Analytics ne sera plus pris en charge après le 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace deployIfNotExists 3.0.0
Déployez l’extension Log Analytics pour des machines virtuelles Linux. Voir l’avis de dépréciation ci-dessous Déployez l’extension Log Analytics pour les machines virtuelles Linux si l’image de machine virtuelle (système d’exploitation) figure dans la liste définie et que l’extension n’est pas installée. Avertissement d’obsolescence : les agents Log Analytics sont en voie de dépréciation et ne seront plus pris en charge à partir du 31 août 2024. Vous devez migrer avant cette date vers « l’Agent Azure Monitor » qui le remplace deployIfNotExists 3.0.0
L’agent Azure Monitor doit être installé sur des machines Linux avec Arc Les machines Linux avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie audite les machines avec Arc dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.0.1
L’agent Azure Monitor doit être installé sur les machines virtuelles Linux Les groupes de machines virtuelles identiques Linux doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des groupes de machines virtuelles identiques avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.0.0
L’agent Azure Monitor doit être installé sur les machines virtuelles Linux Les machines virtuelles Linux doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Cette stratégie effectue un audit des machines virtuelles avec des images de système d’exploitation prises en charge dans les régions prises en charge. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.0.0
L’extension Log Analytics doit être activée dans les groupes de machines virtuelles identiques pour les images de machines virtuelles listées Signale que les groupes de machines virtuelles identiques ne sont pas conformes si l’image de machine virtuelle n’est pas dans la liste définie et que l’extension n’est pas installée. AuditIfNotExists, Désactivé 2.0.1
Les espaces de travail Log Analytics doivent bloquer l’ingestion et l’interrogation de journaux à partir de réseaux publics Améliorez la sécurité des espaces de travail en bloquant l’ingestion et l’interrogation de journaux à partir de réseaux publics. Seuls les réseaux connectés avec une liaison privée peuvent ingérer et interroger les journaux de cet espace de travail. Pour en savoir plus, rendez-vous sur https://aka.ms/AzMonPrivateLink#configure-log-analytics. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les espaces de travail Log Analytics doivent bloquer l’ingestion non Azure Active Directory. L’application de l’ingestion de journaux pour exiger l’authentification Azure Active Directory empêche les journaux non authentifiés d’une personne malveillante, ce qui pourrait entraîner un état incorrect, des alertes erronées et des journaux incorrects stockés dans le système. Refus, Audit, Désactivation 1.0.0
Les adresses IP publiques doivent avoir les journaux de ressource activés pour Azure DDoS Protection Standard Activez les journaux de ressources des adresses IP publiques dans les paramètres de diagnostic, afin d’envoyer des données en streaming à un espace de travail Log Analytics. Obtenez une visibilité détaillée du trafic d’attaque et des actions entreprises pour atténuer les attaques DDoS par le biais de notifications, de rapports et de journaux de flux. AuditIfNotExists, DeployIfNotExists, Désactivé 1.0.0
Les journaux de ressources doivent être activés pour l’audit sur les ressources prises en charge Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. L’existence d’un paramètre de diagnostic pour le groupe de catégories Audit sur les types de ressources sélectionnés garantit que ces journaux sont activés et capturés. Les types de ressources applicables sont ceux qui prennent en charge le groupe de catégories « Audit ». AuditIfNotExists, Désactivé 1.0.0
Les requêtes enregistrées dans Azure Monitor doivent être enregistrées dans le compte de stockage du client pour le chiffrement des journaux Liez le compte de stockage à un espace de travail Log Analytics pour protéger les requêtes enregistrées avec le chiffrement du compte de stockage. Les clés gérées par le client sont généralement nécessaires pour respecter la conformité réglementaire et pour mieux contrôler l’accès à vos requêtes enregistrées dans Azure Monitor. Pour plus d’informations, consultez https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Le compte de stockage disposant du conteneur des journaux d’activité doit être chiffré avec BYOK Cette stratégie vérifie si le compte de stockage disposant du conteneur des journaux d’activité est chiffré avec BYOK. La stratégie fonctionne uniquement si le compte de stockage se trouve par défaut dans le même abonnement que les journaux d’activité. Vous trouverez plus d’informations sur le chiffrement du stockage Azure au repos ici https://aka.ms/azurestoragebyok. AuditIfNotExists, Désactivé 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Linux avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Linux avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des serveurs Windows avec Azure Arc Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des serveurs Windows avec Azure Arc. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Linux Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Linux. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Linux Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles Linux. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des groupes de machines virtuelles identiques Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des groupes de machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics héritée ne doit pas être installée sur des machines virtuelles Empêchez automatiquement l’installation de l’agent Log Analytics hérité dans la dernière étape de migration des agents hérités vers l’agent Azure Monitor. Une fois que vous avez désinstallé les extensions héritées existantes, cette stratégie refuse toutes les installations futures de l’extension d’agent héritée sur des machines virtuelles identiques Windows. En savoir plus : https://aka.ms/migratetoAMA Refus, Audit, Désactivation 1.0.0
L’extension Log Analytics doit être installée sur les groupes de machines virtuelles identiques Cette stratégie audite les groupes de machines virtuelles identiques Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
Les machines virtuelles doivent être connectées à un espace de travail spécifié Les machines virtuelles dont la journalisation ne s’effectue pas sur l’espace de travail Log Analytics spécifié dans l’attribution de stratégie/d’initiative sont signalées comme non conformes. AuditIfNotExists, Désactivé 1.1.0
L’extension Log Analytics doit être installée sur les machines virtuelles Cette stratégie audite toutes les machines virtuelles Windows/Linux si l’extension Log Analytics n’est pas installée. AuditIfNotExists, Désactivé 1.0.1
L’agent Azure Monitor doit être installé sur des machines Windows avec Arc Les machines Windows avec Arc doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines Windows avec Arc dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 1.0.1
L’agent Azure Monitor doit être installé sur les groupes de machines virtuelles identiques Windows Les groupes de machines virtuelles identiques Windows doivent être supervisés et sécurisés par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les groupes de machines virtuelles identiques avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisés pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.0.0
L’agent Azure Monitor doit être installé sur les machines virtuelles Windows Les machines virtuelles Windows doivent être supervisées et sécurisées par le biais de l’agent Azure Monitor déployé. L’agent Azure Monitor collecte les données de télémétrie à partir du système d’exploitation invité. Les machines virtuelles Windows avec un système d’exploitation pris en charge et dans les régions prises en charge sont supervisées pour le déploiement de l’agent Azure Monitor. En savoir plus : https://aka.ms/AMAOverview. AuditIfNotExists, Désactivé 3.0.0
Les classeurs doivent être enregistrés dans des comptes de stockage que vous contrôlez Avec le BYOS (Bring Your Own Storage), ces classeurs sont chargés dans un compte de stockage que vous contrôlez. Cela signifie que vous contrôlez la stratégie de chiffrement au repos, la stratégie de gestion de la durée de vie et l’accès réseau. Toutefois, vous êtes responsable des coûts associés à ce compte de stockage. Pour plus d’informations, visitez https://aka.ms/workbooksByos. refus, Refus, audit, Audit, désactivé, Désactivé 1.1.0

Réseau

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : L’ensemble du trafic Internet doit transiter par votre Pare-feu Azure déployé Azure Security Center a détecté que certains de vos sous-réseaux ne sont pas protégés par un pare-feu de nouvelle génération. Protégez vos sous-réseaux contre les menaces potentielles en limitant leur accès avec le pare-feu Azure ou un pare-feu de nouvelle génération pris en charge AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : [Préversion] : Container Registry doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Container Registry s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0-preview
Une stratégie IPsec/IKE personnalisée doit être appliquée à toutes les connexions de passerelle de réseau virtuel Azure Cette stratégie garantit que toutes les connexions de passerelle de réseau virtuel Azure utilisent une stratégie IPsec (Internet Protocol Security)/IKE (Internet Key Exchange). Algorithmes et forces de clé pris en charge - https://aka.ms/AA62kb0 Audit, Désactivé 1.0.0
Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir des sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Désactivé 2.0.0
La stratégie de pare-feu Azure doit activer l’inspection TLS dans les règles d’application L’activation de l’inspection TLS est recommandée pour toutes les règles d’application pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect Audit, Refuser, Désactivé 1.0.0
Le pare-feu Azure Premium doit configurer un certificat intermédiaire valide pour activer l’inspection TLS Configurez un certificat intermédiaire valide et activez l’inspection TLS du Pare-feu Azure Premium pour détecter, alerter et atténuer les activités malveillantes dans HTTPS. Pour en savoir plus sur l’inspection TLS avec le Pare-feu Azure, consultez https://aka.ms/fw-tlsinspect Audit, Refuser, Désactivé 1.0.0
Les passerelles VPN Azure ne doivent pas utiliser la référence SKU « de base » Cette stratégie garantit que les passerelles VPN n’utilisent pas de référence SKU « de base ». Audit, Désactivé 1.0.0
Azure Web Application Firewall doit être activé pour les points d’entrée Azure Front Door Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 1.0.2
La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) doit être vide dans la stratégie de pare-feu Premium La liste de contournement de l’IDPS (Intrusion Detection and Prevention System) vous permet de ne pas filtrer le trafic vers les adresses IP, les plages et les sous-réseaux spécifiés dans cette liste. Toutefois, l’activation d’IDPS est recommandée pour tous les flux de trafic afin de mieux identifier les menaces connues. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature Audit, Refuser, Désactivé 1.0.0
Configurer les paramètres de diagnostic pour les groupes de sécurité réseau Azure dans l’espace de travail Log Analytics Déployez les paramètres de diagnostic dans des groupes de sécurité réseau Azure afin de diffuser les journaux de ressources vers un espace de travail Log Analytics. DeployIfNotExists, Désactivé 1.0.0
Configurer les groupes de sécurité réseau pour activer Traffic Analytics Vous pouvez activer Traffic Analytics pour tous les groupes de sécurité réseau hébergés dans une région particulière avec les paramètres fournis durant la création de la stratégie. Si Traffic Analytics est déjà activé, la stratégie ne remplace pas ses paramètres. Les journaux de flux sont également activés pour les groupes de sécurité réseau qui n’en disposent pas. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.1.0
Configurer des groupes de sécurité réseau pour utiliser un espace de travail, un compte de stockage et une stratégie de conservation de flux spécifiques pour l’analyse du trafic Si Traffic Analytics est déjà activé, la stratégie remplace ses paramètres existants par ceux fournis durant la création de la stratégie. Traffic Analytics est une solution cloud qui offre une visibilité de l’activité des utilisateurs et des applications dans vos réseaux cloud. DeployIfNotExists, Désactivé 1.1.0
Cosmos DB doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Cosmos DB s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Déployer une ressource de journal de flux avec un groupe de sécurité réseau cible Configure le journal de flux pour un groupe de sécurité réseau spécifique. Il permettra à de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Le journal de flux aide à identifier le trafic inconnu ou indésirable, à vérifier l’isolement réseau et la conformité avec les règles d’accès d’entreprise, à analyser les flux réseau provenant d’adresses IP et d’interfaces réseau compromises. deployIfNotExists 1.0.1
Déployer Network Watcher lors de la création de réseaux virtuels Cette stratégie crée une ressource Network Watcher dans des régions avec des réseaux virtuels. Vous devez vérifier l’existence d’un groupe de ressources nommé networkWatcherRG, qui sert à déployer des instances de Network Watcher. DeployIfNotExists 1.0.0
Event Hub doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Event Hub s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
La stratégie de pare-feu Premium doit activer toutes les règles de signature IDPS pour monitorer tous les flux de trafic entrant et sortant L’activation de toutes les règles de signature IDPS (Intrusion Detection and Prevention System) est recommandée pour mieux identifier les menaces connues dans les flux de trafic. Pour en savoir plus sur les signatures d’Intrusion Detection and Prevention System (IDPS) avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps-signature Audit, Refuser, Désactivé 1.0.0
La stratégie de pare-feu Premium doit activer le système de détection et de prévention des intrusions (IDPS) Activer l’IDPS vous permet de monitorer les activités malveillantes, de journaliser des informations sur ces activités, de les signaler, voire de les bloquer. Pour en savoir plus sur l’IDPS avec le Pare-feu Azure Premium, consultez https://aka.ms/fw-idps Audit, Refuser, Désactivé 1.0.0
Les journaux de flux doivent être configurés pour chaque groupe de sécurité réseau Auditez les groupes de sécurité réseau pour vérifier si les journaux de flux sont configurés. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.1.0
Les journaux de flux doivent être activés pour chaque groupe de sécurité réseau Auditez les ressources du journal de flux pour vérifier si l’état du journal de flux est activé. Activer les journaux de flux permet de consigner des informations sur le trafic IP circulant dans un groupe de sécurité réseau. Il peut être utilisé pour optimiser les flux réseau, surveiller le débit, vérifier la conformité, détecter les intrusions, etc. Audit, Désactivé 1.0.0
Les sous-réseaux de passerelle ne doivent pas être configurés avec un groupe de sécurité réseau Cette stratégie refuse un sous-réseau de passerelle configuré avec un groupe de sécurité réseau. L’attribution d’un groupe de sécurité réseau à un sous-réseau de passerelle entraîne l’arrêt du fonctionnement de la passerelle. deny 1.0.0
Key Vault doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite Key Vault s’il n’est pas configuré pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
Les interfaces réseau doivent désactiver le transfert IP Cette stratégie refuse les interfaces réseau qui permettaient le transfert IP. Le paramètre de transfert IP désactive la vérification par Azure de la source et de la destination d’une interface réseau. Il doit être examiné par l’équipe de sécurité réseau. deny 1.0.0
Les interfaces réseau ne doivent pas avoir d’adresses IP publiques Cette stratégie refuse les interfaces réseau configurées avec une adresse IP publique. Les adresses IP publiques permettent aux ressources Internet de communiquer avec les ressources Azure et aux ressources Azure de communiquer avec Internet. Il doit être examiné par l’équipe de sécurité réseau. deny 1.0.0
Traffic Analytics doit être activé pour les journaux de flux Network Watcher Traffic Analytics analyse les journaux de flux de groupe de sécurité réseau Network Watcher pour fournir des insights sur le flux de trafic dans votre cloud Azure. Il peut être utilisé pour visualiser l’activité réseau de vos abonnements Azure ainsi que pour identifier les points d’accès, identifier les menaces de sécurité, comprendre les modèles de flux de trafic, identifier les problèmes de configuration réseau, etc. Audit, Désactivé 1.0.0
Network Watcher doit être activé Network Watcher est un service régional qui vous permet de surveiller et de diagnostiquer l’état au niveau d’un scénario réseau dans, vers et depuis Azure. La surveillance au niveau des scénarios vous permet de diagnostiquer les problèmes avec une vue de bout en bout du réseau. Vous devez créer un groupe de ressources Network Watcher dans chaque région où un réseau virtuel est présent. Une alerte est activée dans le cas où aucun groupe de ressources Network Watcher n’est disponible dans une région donnée. AuditIfNotExists, Désactivé 3.0.0
SQL Server doit utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite tout serveur SQL Server non configuré pour utiliser un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.0
Les comptes de stockage doivent utiliser un point de terminaison de service de réseau virtuel Cette stratégie audite les comptes de stockage non configurés pour utiliser un point de terminaison de service de réseau virtuel. Audit, Désactivé 1.0.0
L’abonnement doit configurer le pare-feu Azure Premium pour fournir une couche de protection supplémentaire Le pare-feu Azure Premium offre une protection avancée contre les menaces qui répond aux besoins des environnements hautement sensibles et réglementés. Déployez le Pare-feu Azure Premium dans votre abonnement et vérifiez que tout le trafic du service est protégé par le Pare-feu Azure Premium. Pour en savoir plus sur le Pare-feu Azure Premium, visitez https://aka.ms/fw-premium AuditIfNotExists, Désactivé 1.0.0
Les machines virtuelles doivent être connectées à un réseau virtuel approuvé Cette stratégie audite les machines virtuelles connectées à un réseau virtuel non approuvé. Audit, Refuser, Désactivé 1.0.0
Les réseaux virtuels doivent être protégés par Azure DDoS Protection Standard Protégez vos réseaux virtuels contre les attaques volumétriques et de protocole avec Azure DDoS Protection Standard. Pour plus d’informations, consultez https://aka.ms/ddosprotectiondocs. Modifier, Audit, Désactivé 1.0.0
Les réseaux virtuels doivent utiliser la passerelle de réseau virtuel spécifiée Cette stratégie audite les réseaux virtuels si la route par défaut ne pointe pas vers la passerelle de réseau virtuel spécifiée. AuditIfNotExists, Désactivé 1.0.0
Les passerelles VPN doivent utiliser uniquement l’authentification Azure AD (Azure Active Directory) pour les utilisateurs point à site La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les passerelles VPN utilisent uniquement les identités Azure Active Directory pour l’authentification. En savoir plus sur l’authentification Azure AD sur https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit être activé pour Application Gateway Déployez Azure Web Application Firewall (WAF) devant les applications web publiques pour bénéficier d’un contrôle supplémentaire du trafic entrant. Web Application Firewall (WAF) offre une protection centralisée de vos applications web contre les codes malveillants exploitant une faille de sécurité et les vulnérabilités telles que les injections de code SQL, le scripting inter-site, les exécutions de fichiers locales et à distance. Vous pouvez également restreindre l’accès à vos applications web par pays, plages d’adresses IP et autres paramètres http(s) par le biais de règles personnalisées. Audit, Refuser, Désactivé 2.0.0
Web Application Firewall (WAF) doit activer toutes les règles de pare-feu pour Application Gateway L’activation de toutes les règles de Web Application Firewall (WAF) renforce la sécurité de votre application et protège vos applications web contre les vulnérabilités courantes. Pour en savoir plus sur Web Application Firewall (WAF) avec Application Gateway, visitez https://aka.ms/waf-ag Audit, Refuser, Désactivé 1.0.1
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Application Gateway Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Application Gateway. Audit, Refuser, Désactivé 1.0.0
Le pare-feu d’applications web (WAF) doit utiliser le mode spécifié pour Azure Front Door Service Impose l’utilisation du mode de « détection » ou de « blocage » pour être actif sur toutes les stratégies de pare-feu d’applications web pour Azure Front Door Service. Audit, Refuser, Désactivé 1.0.0

Portail

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les tableaux de bord partagés ne doivent pas comporter de vignettes Markdown contenant du contenu inline N’autorisez pas la création d’un tableau de bord partagé comportant du contenu inline dans des vignettes Markdown. Imposez que le contenu soit stocké comme fichier Markdown hébergé en ligne. Si vous utilisez du contenu inline dans la vignette Markdown, vous ne pouvez pas gérer le chiffrement du contenu. En configurant votre propre stockage, vous pourrez effectuer un chiffrement, un chiffrement double et même une procédure Bring Your Own Key. Cette stratégie empêche les utilisateurs d’utiliser les versions 2020-09-01-preview et ultérieures de l’API REST des tableaux de bord partagés. Audit, Refuser, Désactivé 1.0.0
Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Le service Recherche cognitive Azure doit utiliser une référence SKU qui prend en charge les liaisons privées Avec les références SKU prises en charge de Recherche cognitive Azure, Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique à la source ou à la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre service de recherche, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent désactiver l’accès réseau public La désactivation de l’accès au réseau public améliore la sécurité en s’assurant que votre service Recherche cognitive Azure n’est pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de votre service de recherche. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Refuser, Désactivé 1.0.0
Les méthode d'authentification locales doivent être désactivées pour les services de Recherche cognitive Azure La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. Notez que si le paramètre de désactivation de l’authentification locale est toujours en préversion, le refus de cette stratégie peut entraîner une limitation des fonctionnalités dans le portail de Recherche cognitive Azure, car certaines fonctionnalités du portail utilisent l’API en disponibilité générale qui ne prend pas en charge ce paramètre. Audit, Refuser, Désactivé 1.0.0
Les services de Recherche cognitive Azure doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’activation du chiffrement au repos à l’aide d’une clé gérée par le client sur vos services de Recherche cognitive Azure vous offre un contrôle supplémentaire sur la clé utilisée pour chiffrer les données au repos. Cette fonctionnalité est souvent applicable aux clients ayant des exigences de conformité spéciales pour gérer des clés de chiffrement de données à l’aide d’un coffre de clés. Audit, Refuser, Désactivé 1.0.0
Les services Recherche cognitive Azure doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à la Recherche cognitive Azure, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Désactivé 1.0.0
Configurer les services de Recherche cognitive Azure pour désactiver l'authentification locale Désactivez les méthodes d’authentification locales de façon à ce que vos services de Recherche cognitive Azure requièrent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/rbac. Modifier, Désactivé 1.0.0
Configurer les services Recherche cognitive Azure pour désactiver l’accès réseau public Désactivez l’accès réseau public pour votre service Recherche cognitive Azure pour qu’il ne soit pas accessible via l’Internet public. Cela peut réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Modifier, Désactivé 1.0.0
Configurer les services Recherche cognitive Azure pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en votre service Recherche cognitive Azure. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Désactivé 1.0.0
Configurer les services Recherche cognitive Azure avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre service Recherche cognitive Azure, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/azure-cognitive-search/inbound-private-endpoints. DeployIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans les services Search doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0

Security Center

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos machines Linux Arc Installez l’agent Azure Security sur vos machines Linux Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Linux Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Linux Installez l’agent Azure Security sur vos machines virtuelles Linux afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos machines Windows Arc Installez l’agent Azure Security sur vos machines Windows Arc afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos groupes de machines virtuelles identiques Windows Installez l’agent Azure Security sur vos groupes de machines virtuelles identiques Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : L’agent Azure Security doit être installé sur vos machines virtuelles Windows Installez l’agent Azure Security sur vos machines virtuelles Windows afin de superviser les configurations et vulnérabilités de sécurité de vos machines. Les résultats des évaluations peuvent être vus et gérés dans Azure Security Center. AuditIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur votre machine Linux Arc Installez l’extension ChangeTracking sur les machines Linux Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Linux Installez l’extension ChangeTracking sur les machines virtuelles Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Linux Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Linux pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur votre machine Windows Arc Installez l’extension ChangeTracking sur les machines Windows Arc pour activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur votre machine virtuelle Windows Installez l’extension ChangeTracking sur des machines virtuelles Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’extension ChangeTracking doit être installée sur vos groupes de machines virtuelles identiques Windows Installez l’extension ChangeTracking sur des groupes de machines virtuelles identiques Windows pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer des machines Arc pour créer le pipeline Microsoft Defender pour le cloud par défaut à l’aide de l’agent Azure Monitor Configurez des machines Arc pour créer le pipeline Microsoft Defender pour le cloud par défaut à l’aide de l’agent Azure Monitor. Microsoft Defender pour le cloud collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine pour stocker les enregistrements d’audit. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 1.2.0-preview
[Préversion] : [Préversion] : Configurer des machines Arc afin de créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur à l’aide de l’agent Azure Monitor Configurez les machines Arc pour créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur à l’aide de l’agent Azure Monitor. Microsoft Defender pour le cloud collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Utilisez l’espace de travail Log Analytics fourni par l’utilisateur pour stocker les enregistrements d’audit. Créez un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics fourni par l’utilisateur. Les machines Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.2.0-preview
[Préversion] : [Préversion] : Configurer l’association pour lier des machines Arc à la règle de collecte de données Microsoft Defender pour le cloud par défaut Configurez des machines Arc pour créer automatiquement une association avec la règle de collecte de données par défaut pour Microsoft Defender pour le cloud. La suppression de cette association rompt la détection des failles de sécurité pour cette machine Arc. Les machines Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : [Préversion] : Configurer l’association pour lier des machines Arc à la règle de collecte de données Microsoft Defender pour le cloud définie par l’utilisateur Configurez des machines Arc pour créer automatiquement une association avec la règle de collecte de données définie par l’utilisateur pour Microsoft Defender pour le cloud. La suppression de cette association rompt la détection des failles de sécurité pour cette machine Arc. Les machines Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : [Préversion] : Configurer l’association pour lier des machines virtuelles à la règle de collecte de données Microsoft Defender pour le cloud par défaut Configurez des machines pour créer automatiquement une association avec la règle de collecte de données par défaut pour Microsoft Defender pour le cloud. La suppression de cette association rompt la détection des failles de sécurité pour cette machine virtuelle. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 2.1.1-preview
[Préversion] : [Préversion] : Configurer l’association pour lier des machines virtuelles à la règle de collecte de données Microsoft Defender pour le cloud définie par l’utilisateur Configurez des machines pour créer automatiquement une association avec la règle de collecte de données définie par l’utilisateur pour Microsoft Defender pour le cloud. La suppression de cette association rompt la détection des failles de sécurité pour cette machine virtuelle. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 1.1.1-preview
[Préversion] : [Préversion] : Configurer l’agent Azure Defender pour SQL sur une machine virtuelle Configurez des machines Windows pour installer automatiquement l’agent Azure Defender pour SQL où l’agent Azure Monitor est installé. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Crée un groupe de ressources et un espace de travail Log Analytics dans la même région que la machine. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les machines Linux Arc Configurez des machines Linux Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Linux Configurez des groupes de machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Linux Configurez des machines virtuelles identiques Linux pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les machines Windows Arc Configurez des machines Windows Arc pour installer automatiquement l’extension ChangeTracking et activer l’analyse de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les groupes de machines virtuelles identiques Windows Configurez des groupes de machines virtuelles identiques Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer l’extension ChangeTracking pour les machines virtuelles Windows Configurez des machines virtuelles Windows pour installer automatiquement l’extension ChangeTracking pour activer le monitoring de l’intégrité des fichiers (FIM) dans Azure Security Center. FIM examine les fichiers du système d’exploitation, les registres de Windows, les logiciels d’application, les fichiers système Linux, etc., pour les modifications susceptibles d’indiquer une attaque. L’extension peut être installée dans des machines virtuelles et les emplacements pris en charge par l’agent Azure Monitor. DeployIfNotExists, Désactivé 1.1.0-preview
[Préversion] : [Préversion] : Configurer des machines afin de créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur à l’aide de l’agent Azure Monitor Configurez les machines pour créer le pipeline Microsoft Defender pour le cloud défini par l’utilisateur à l’aide de l’agent Azure Monitor. Microsoft Defender pour le cloud collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Utilisez l’espace de travail Log Analytics fourni par l’utilisateur pour stocker les enregistrements d’audit. Crée un groupe de ressources et une règle de collecte de données dans la même région que l’espace de travail Log Analytics fourni par l’utilisateur. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 1.2.0-preview
[Préversion] : [Préversion] : Configurer les machines Linux Arc prises en charge pour installer automatiquement l’agent Azure Security Configurez les machines Linux Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Linux Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’agent Azure Security Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer les groupes de machines virtuelles identiques Linux pris en charge pour installer automatiquement l’extension Attestation d’invité Configurez les groupes de machines virtuelles identiques Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 6.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé Configurez les machines virtuelles Linux prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. DeployIfNotExists, Désactivé 5.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’agent Azure Security Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 7.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité Configurez les machines virtuelles Linux prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 7.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles prises en charge pour activer automatiquement vTPM Configurez les machines virtuelles prises en charge pour activer automatiquement vTPM afin de faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer les machines Windows Arc prises en charge pour installer automatiquement l’agent Azure Security Configurez les machines virtuelles Windows Arc prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines Windows Arc cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent Azure Security Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’agent de sécurité Azure. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 5.0.0-preview
[Préversion] : [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security Configurez les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’agent Azure Security. Security Center collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Les groupes de machines virtuelles identiques Windows cibles doivent se trouver dans un emplacement pris en charge. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer les groupes de machines virtuelles identiques Windows pris en charge pour installer automatiquement l’extension Attestation d’invité Configurez les groupes de machines virtuelles identiques Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 4.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé Configurez les machines virtuelles Windows prises en charge pour activer automatiquement le démarrage sécurisé afin d’atténuer les modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. DeployIfNotExists, Désactivé 3.0.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité Configurez les machines virtuelles Windows prises en charge pour installer automatiquement l’extension Attestation d’invité afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 5.0.0-preview
[Préversion] : [Préversion] : Configurer des machines virtuelles pour créer le pipeline Microsoft Defender pour le cloud par défaut à l’aide de l’agent Azure Monitor Configurez des machines virtuelles pour créer le pipeline Microsoft Defender pour le cloud par défaut à l’aide de l’agent Azure Monitor. Microsoft Defender pour le cloud collecte les événements de l’agent et les utilise pour communiquer des alertes de sécurité et des tâches personnalisées de sécurisation renforcée (recommandations). Créez un groupe de ressources, une règle de collecte de données et un espace de travail Log Analytics dans la même région que la machine pour stocker les enregistrements d’audit. Les machines virtuelles cibles doivent se trouver à un emplacement pris en charge. DeployIfNotExists, Désactivé 5.2.0-preview
[Préversion] : [Préversion] : Configurer les machines virtuelles créées avec des images Shared Image Gallery pour installer l’extension Attestation d’invité Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Configurer le groupe de machines virtuelles identiques créé avec Shared Image Gallery images pour installer l’extension Attestation d’invité Configurez les machines virtuelles créées avec Shared Image Gallery images pour installer automatiquement l’extension Guest Attestation afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. L’intégrité du démarrage est attestée par le biais d’une attestation à distance. DeployIfNotExists, Désactivé 2.0.0-preview
[Préversion] : [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux Déploie l’agent Microsoft Defender pour point de terminaison sur des machines hybrides Linux DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Linux Déploie Microsoft Defender pour l’agent point de terminaison sur les images de machine virtuelle Linux applicables. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc Déploie Microsoft Defender pour point de terminaison sur des machines Windows Azure Arc. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : [Préversion] : Déployer l’agent Microsoft Defender pour point de terminaison sur des machines virtuelles Windows Déploie Microsoft Defender pour point de terminaison sur les images de machine virtuelle Windows applicables. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[Préversion] : [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Linux prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles Linux prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 6.0.0-preview
[Préversion] : [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Linux prises en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques Linux pris en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Linux confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 5.0.0-preview
[Préversion] : [Préversion] : L’extension Attestation d’invité doit être installée sur les machines virtuelles Windows prises en charge Installez l’extension Attestation d’invité sur les machines virtuelles prises en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 4.0.0-preview
[Préversion] : [Préversion] : L’extension Attestation d’invité doit être installée sur les groupes de machines virtuelles identiques Windows pris en charge Installez l’extension Attestation d’invité sur les groupes de machines virtuelles identiques pris en charge afin de permettre à Azure Security Center d’attester et de superviser de manière proactive l’intégrité du démarrage. Une fois l’installation terminée, l’intégrité du démarrage est attestée par le biais d’une attestation à distance. Cette évaluation s’applique aux groupes de machines virtuelles identiques Windows confidentielles et avec lancement fiable. AuditIfNotExists, Désactivé 3.0.0-preview
[Préversion] : [Préversion] : Les machines virtuelles Linux doivent utiliser le démarrage sécurisé Pour protéger contre l’installation de rootkits et de kits de démarrage basés sur des programmes malveillants, activez le démarrage sécurisé sur les machines virtuelles Linux prises en charge. Le démarrage sécurisé garantit que seuls les systèmes d’exploitation et pilotes signés sont autorisés à s’exécuter. Cette évaluation s’applique uniquement aux machines virtuelles Linux sur lesquelles l’agent Azure Monitor est installé. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les ordinateurs doivent avoir des ports fermés susceptibles d’exposer des vecteurs d’attaque Les conditions d’utilisation d’Azure interdisent l’utilisation des services Azure d’une manière qui pourrait endommager, désactiver, surcharger ou perturber un serveur Microsoft ou le réseau. Les ports exposés identifiés par cette recommandation doivent être fermés pour le maintien de votre sécurité. Pour chaque port identifié, la recommandation fournit également une explication de la menace potentielle. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Le démarrage sécurisé doit être activé sur les machines virtuelles Windows prises en charge Activez le démarrage sécurisé sur les machines virtuelles Windows prises en charge afin d’atténuer les risques de modifications malveillantes et non autorisées de la chaîne de démarrage. Une fois le démarrage sécurisé activé, seuls les chargeurs de démarrage, noyaux et pilotes de noyau approuvés sont autorisés à s’exécuter. Cette évaluation s’applique aux machines virtuelles Windows confidentielles et avec lancement fiable. Audit, Désactivé 4.0.0-preview
[Préversion] : Les mises à jour système doivent être installées sur vos machines (avec le Centre des mises à jour) Des mises à jour système, critiques et de sécurité sont manquantes sur vos machines. Les mises à jour de logiciel incluent souvent des correctifs critiques pour les failles de sécurité. Ces failles sont souvent exploitées lors d’attaques de programmes malveillants. Il est donc essentiel de maintenir vos logiciels à jour. Pour installer tous les correctifs en attente et sécuriser vos machines, suivez la procédure de correction. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : L’état de l’attestation d’invité des machines virtuelles doit être sain L’attestation d’invité est exécutée par l’envoi d’un journal approuvé (TCGLog) à un serveur d’attestation. Le serveur utilise ces journaux pour déterminer si les composants de démarrage sont dignes de confiance. Cette évaluation vise à détecter les compromissions de la chaîne de démarrage qui peuvent résulter d’une infection par un kit de démarrage ou un rootkit. Cette évaluation s’applique uniquement aux machines virtuelles compatibles avec le lancement fiable sur lesquelles l’extension d’attestation d’invité est installée. AuditIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : vTPM doit être activé sur les machines virtuelles prises en charge Activez l’appareil TPM virtuel sur les machines virtuelles prises en charge pour faciliter le démarrage mesuré et d’autres fonctionnalités de sécurité du système d’exploitation qui nécessitent un TPM. Une fois l’appareil vTPM activé, il permet d’attester l’intégrité du démarrage. Cette évaluation s’applique uniquement aux machines virtuelles pour lesquelles le lancement fiable est activé. Audit, Désactivé 2.0.0-preview
3 propriétaires maximum doivent être désignés pour votre abonnement Il est recommandé de désigner jusqu'à 3 propriétaires d'abonnement pour réduire le risque de violation par un propriétaire compromis. AuditIfNotExists, Désactivé 3.0.0
Une solution d’évaluation des vulnérabilités doit être activée sur vos machines virtuelles Audite les machines virtuelles pour détecter si elles exécutent une solution d’évaluation des vulnérabilités prise en charge. L’identification et l’analyse des vulnérabilités constituent un composant fondamental de chaque programme de sécurité et d’évaluation des cyber-risques. Le niveau tarifaire Standard d’Azure Security Center comprend l’analyse des vulnérabilités de vos machines virtuelles sans coût supplémentaire. De plus, Security Center peut déployer cet outil automatiquement pour vous. AuditIfNotExists, Désactivé 3.0.0
Les comptes disposant d’autorisations de propriétaire sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en lecture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les comptes disposant d’autorisations en écriture sur les ressources Azure doivent être compatibles avec l’authentification multifacteur MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 1.0.0
Les contrôles d’application adaptatifs pour définir les applications sécurisées doivent être activés sur vos machines Activer les contrôles d’application pour définir la liste des applications reconnues fiables qui s’exécutent sur vos machines, et vous avertir quand d’autres applications s’exécutent. La sécurité de vos machines contre les logiciels malveillants s’en trouve renforcée. Pour simplifier le processus de configuration et de maintenance de vos règles, Security Center utilise le Machine Learning pour analyser les applications qui s’exécutent sur chaque machine et suggérer la liste des applications reconnues fiables. AuditIfNotExists, Désactivé 3.0.0
Les recommandations de renforcement de réseau adaptatif doivent être appliquées sur les machines virtuelles accessibles à partir d’Internet Azure Security Center analyse les tendances du trafic des machines virtuelles accessibles sur Internet et fournit des recommandations sur les règles de groupe de sécurité réseau à utiliser pour réduire la surface d’attaque potentielle AuditIfNotExists, Désactivé 3.0.0
Tous les ports réseau doivent être restreints sur les groupes de sécurité réseau associés à votre machine virtuelle Azure Security Center a identifié qu’une partie des règles de trafic entrant de vos groupes de sécurité réseau est trop permissive. Les règles de trafic entrant ne doivent pas autoriser l’accès à partir des plages « Tout » ou « Internet ». Cela peut permettre aux attaquants de cibler vos ressources. AuditIfNotExists, Désactivé 3.0.0
Les règles de liste verte dans votre stratégie de contrôle d’application adaptatif doivent être mises à jour Supervisez les changements de comportement sur les groupes de machines configurés pour être audités par les contrôles d’application adaptatifs d’Azure Security Center. Security Center utilise le Machine Learning pour analyser les processus en cours d’exécution sur vos machines, et suggérer une liste d’applications reconnues fiables. Elles sont présentées comme des applications recommandées à autoriser dans les stratégies de contrôles d’application adaptatifs. AuditIfNotExists, Désactivé 3.0.0
L’état Defender de SQL Server avec Arc doit être protégé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. Audit, Désactivé 1.0.0
Des plages d’adresses IP autorisées doivent être définies sur les services Kubernetes Limitez l’accès à l’API Gestion des services Kubernetes en n’accordant l’accès à l’API qu’à des adresses IP de plages spécifiques. Nous vous recommandons de limiter l’accès aux plages d’adresses IP autorisées afin d’être sûr que seules les applications des réseaux autorisés puissent accéder au cluster. Audit, Désactivé 2.0.1
Le provisionnement automatique de l’agent Log Analytics doit être activé sur votre abonnement Pour superviser les menaces et les vulnérabilités de sécurité, Azure Security Center collecte des données à partir de vos machines virtuelles Azure. Les données sont collectées par l’agent Log Analytics, auparavant appelé Microsoft Monitoring Agent (MMA). Cet agent lit divers journaux d’événements et configurations liés à la sécurité de la machine, puis copie les données dans votre espace de travail Log Analytics à des fins d’analyse. Nous vous recommandons d’activer l’approvisionnement automatique pour déployer automatiquement l’agent sur toutes les machines virtuelles Azure prises en charge et sur toutes celles qui sont créées. AuditIfNotExists, Désactivé 1.0.1
Azure DDoS Protection Standard doit être activé La protection DDoS standard doit être activée pour tous les réseaux virtuels avec un sous-réseau qui fait partie d’une passerelle d’application avec une adresse IP publique. AuditIfNotExists, Désactivé 3.0.0
Azure Defender pour App Service doit être activé Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs Azure SQL Database doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour DNS doit être activé Azure Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS à partir de vos ressources Azure. Azure Defender vous avertit des activités suspectes au niveau de la couche DNS. Apprenez-en plus sur les fonctionnalités d’Azure Defender pour DNS sur https://aka.ms/defender-for-dns. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour Key Vault doit être activé Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les bases de données relationnelles open source doit être activé Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour Resource Manager doit être activé Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. AuditIfNotExists, Désactivé 1.0.0
Azure Defender pour les serveurs doit être activé Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. AuditIfNotExists, Désactivé 1.0.3
Azure Defender pour les serveurs SQL sur les machines doit être activé Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. AuditIfNotExists, Désactivé 1.0.2
Azure Defender pour le stockage doit être activé Azure Defender pour le stockage assure une détection des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. AuditIfNotExists, Désactivé 1.0.3
Les comptes bloqués disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Les comptes bloqués disposant d’autorisations en lecture et en écriture sur les ressources Azure doivent être supprimés Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 1.0.0
Vous devez configurer les instances de rôle Services cloud (support étendu) de manière sécurisée Protégez vos instances de rôle de service cloud (support étendu) contre les attaques en vérifiant qu’elles ne sont pas exposées à des vulnérabilités de système d’exploitation. AuditIfNotExists, Désactivé 1.0.0
Vous devez installer une solution Endpoint Protection sur les instances de rôle Services cloud (support étendu) Protégez vos instances de rôle Services cloud (support étendu) contre les menaces et les vulnérabilités en veillant à y installer solution Endpoint Protection. AuditIfNotExists, Désactivé 1.0.0
Vous devez installer les mises à jour système des instances de rôle Services cloud (support étendu) Sécurisez vos instances de rôle Services cloud (support étendu) en veillant à y installer les mises à jour de sécurité et les mises à jour critiques les plus récentes. AuditIfNotExists, Désactivé 1.0.0
Configurer Azure Defender pour activer App Service Azure Defender pour App Service tire parti de l’envergure du cloud et de la visibilité dont Azure bénéficie en tant que fournisseur de cloud pour superviser les attaques d’applications web courantes. DeployIfNotExists, Désactivé 1.0.1
Configurer Azure Defender pour activer la base de données Azure SQL Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Defender pour activer DNS Azure Defender pour DNS fournit une couche supplémentaire de protection pour vos ressources cloud en surveillant en continu toutes les requêtes DNS à partir de vos ressources Azure. Azure Defender vous avertit des activités suspectes au niveau de la couche DNS. Apprenez-en plus sur les fonctionnalités d’Azure Defender pour DNS sur https://aka.ms/defender-for-dns. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. DeployIfNotExists, Désactivé 1.0.1
Configurer Azure Defender pour activer les coffres de clés Key Vault Azure Defender pour Key Vault fournit une couche de protection supplémentaire et une veille de sécurité qui détecte les tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes Key Vault. DeployIfNotExists, Désactivé 1.0.1
Configurer Azure Defender pour activer les bases de données relationnelles open source Azure Defender pour les bases de données relationnelles détecte les activités anormales indiquant des tentatives d’accès ou d’exploitation inhabituelles et potentiellement dangereuses des bases de données. En savoir plus sur les fonctionnalités d’Azure Defender pour les bases de données relationnelles open source sur https://aka.ms/AzDforOpenSourceDBsDocu. Important : L’activation de ce plan entraînera des frais pour la protection de vos bases de données relationnelles open source. Découvrir les prix dans la page de tarification de Security Center : https://aka.ms/pricing-security-center DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Defender pour activer Resource Manager Azure Defender pour Ressource Manager supervise automatiquement toutes les opérations de gestion de ressources dans votre organisation. Azure Defender détecte les menaces et vous alerte sur les activités suspectes. Découvrez-en plus sur les fonctionnalités d’Azure Defender pour Resource Manager sur https://aka.ms/defender-for-resource-manager. L’activation de ce plan Azure Defender entraîne des frais. Découvrez-en plus sur les détails de tarification par région sur la page de tarification de Security Center : https://aka.ms/pricing-security-center. DeployIfNotExists, Désactivé 1.0.1
Configurer Azure Defender pour activer les serveurs Azure Defender pour les serveurs fournit une protection en temps réel contre les menaces pour les charges de travail des serveurs, et génère des recommandations de durcissement, ainsi que des alertes sur les activités suspectes. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Defender pour activer les serveurs SQL sur des machines Azure Defender pour SQL offre des fonctionnalités permettant de mettre au jour et d’atténuer les vulnérabilités potentielles des bases de données SQL, de détecter les activités anormales susceptibles d’indiquer des menaces les ciblant, et de découvrir et de classer les données sensibles. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure Defender pour activer le stockage Azure Defender pour le stockage assure une détection des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des comptes de stockage. DeployIfNotExists, Désactivé 1.0.0
Configurer des machines pour recevoir un fournisseur d’évaluation des vulnérabilités Azure Defender comprend l’analyse des vulnérabilités de vos machines sans coût supplémentaire. Vous n’avez pas besoin d’une licence Qualys ni même de compte Qualys : tout est traité de manière fluide dans Security Center. Quand vous activez cette stratégie, Azure Defender déploie automatiquement l’agent d’évaluation des vulnérabilités de Qualys sur tous les ordinateurs pris en charge qui en sont dépourvus. DeployIfNotExists, Désactivé 4.0.0
La configuration de Microsoft Defender pour les API doit être activée Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. DeployIfNotExists, Désactivé 1.0.0
Configurer Microsoft Defender pour Azure Cosmos DB à activer Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. DeployIfNotExists, Désactivé 1.0.0
Configurer Microsoft Defender pour les conteneurs à activer Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. DeployIfNotExists, Désactivé 1.0.0
Configurer Microsoft Defender pour SQL pour l’activer sur les espaces de travail Synapse Activez Microsoft Defender pour SQL sur vos espaces de travail Azure Synapse pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données SQL. DeployIfNotExists, Désactivé 1.0.0
Les résultats des vulnérabilités des images de registre de conteneurs doivent être résolus L’évaluation des vulnérabilités des images conteneur analyse votre registre à la recherche de failles de sécurité et présente des résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. AuditIfNotExists, Désactivé 2.0.1
Déployer - Configurer des règles de suppression pour les alertes Azure Security Center Supprimez des alertes Azure Security Center pour réduire un trop grand nombre d’alertes en déployant des règles de suppression sur votre groupe d’administration ou votre abonnement. deployIfNotExists 1.0.0
Déployer l’exportation vers Event Hub pour les données Microsoft Defender pour le cloud Activer l’exportation vers Event Hub des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers Event Hub avec vos conditions et un hub d’événements cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 4.1.0
Déployer l’exportation vers l’espace de travail Log Analytics pour les données Microsoft Defender pour le cloud Activer l’exportation vers l’espace de travail Log Analytics des données Microsoft Defender pour le cloud. Cette stratégie déploie une configuration d’exportation vers un espace de travail Log Analytics avec vos conditions et un espace de travail cible sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 4.1.0
Déployer l’automatisation de workflow pour les alertes de Microsoft Defender pour le cloud Activez l’automatisation des alertes Microsoft Defender pour cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 5.0.0
Déployer l’automatisation de workflow pour les recommandations de Microsoft Defender pour le cloud Activez l’automatisation des recommandations de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 5.0.0
Déployer l’automatisation de workflow pour la conformité réglementaire de Microsoft Defender pour le cloud Permettre l’automatisation de la conformité réglementaire de Microsoft Defender pour le cloud. Cette stratégie déploie une automatisation de workflow avec vos conditions et déclencheurs sur l’étendue affectée. Pour déployer cette stratégie sur des abonnements nouvellement créés, ouvrez l’onglet Conformité, sélectionnez l’attribution non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 5.0.0
Les comptes déconseillés doivent être supprimés de votre abonnement Les comptes déconseillés doivent être supprimés de vos abonnements. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 3.0.0
Les comptes déconseillés disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement Les comptes déconseillés disposant d’autorisations de type propriétaire doivent être supprimés de votre abonnement. Les comptes déconseillés sont des comptes qui ont été empêchés de se connecter. AuditIfNotExists, Désactivé 3.0.0
La notification par e-mail pour les alertes à gravité élevée doit être activée Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, activez les notifications par e-mail pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 1.0.1
La notification par e-mail au propriétaire de l’abonnement pour les alertes à gravité élevée doit être activée Pour informer les propriétaires d’abonnement d’une violation de sécurité potentielle dans leur abonnement, activez l’envoi de notifications par e-mail à ces propriétaires pour les alertes à gravité élevée dans Security Center. AuditIfNotExists, Désactivé 2.0.0
Activer Microsoft Defender pour le cloud dans votre abonnement Identifie les abonnements existants qui ne font pas l’objet d’un monitoring par Microsoft Defender pour le cloud, et les protège avec les fonctionnalités gratuites de Defender pour le cloud. Les abonnements faisant déjà l’objet d’un monitoring sont considérés comme conformes. Pour inscrire les abonnements venant d’être créés, ouvrez l’onglet de conformité, sélectionnez l’affectation non conforme appropriée, puis créez une tâche de correction. deployIfNotExists 1.0.1
Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec un espace de travail personnalisé. Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide d’un espace de travail personnalisé. DeployIfNotExists, Désactivé 1.0.0
Activez le provisionnement automatique de l’agent Log Analytics fourni par Security Center sur vos abonnements avec l’espace de travail par défaut. Autorisez Security Center à provisionner automatiquement l’agent Log Analytics sur vos abonnements pour superviser et collecter les données de sécurité à l’aide de l’espace de travail ASC par défaut. DeployIfNotExists, Désactivé 1.0.0
Les problèmes d’intégrité de la protection du point de terminaison doivent être résolus sur vos machines Résolvez les problèmes d’intégrité concernant la protection des points de terminaison de vos machines virtuelles pour les protéger des menaces et des vulnérabilités les plus récentes. Les solutions de protection des points de terminaison Azure Security Center prises en charge sont documentées ici : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. L’évaluation de la protection des points de terminaison est documentée ici : https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Désactivé 1.0.0
Endpoint Protection doit être installé sur vos machines Pour protéger vos machines contre les menaces et les vulnérabilités, installez une solution de protection des points de terminaison prise en charge. AuditIfNotExists, Désactivé 1.0.0
La solution de protection du point de terminaison doit être installée sur les groupes de machines virtuelles identiques Vérifiez l’existence et l’intégrité d’une solution Endpoint Protection dans vos groupes de machines virtuelles identiques, pour les protéger des menaces et des vulnérabilités. AuditIfNotExists, Désactivé 3.0.0
Les comptes externes disposant d’autorisations de propriétaire doivent être supprimés de votre abonnement Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 3.0.0
Les comptes externes disposant d’autorisations de lecture doivent être supprimés de votre abonnement Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 3.0.0
Les comptes externes disposant d’autorisations d’écriture doivent être supprimés de votre abonnement Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 3.0.0
Les comptes invités disposant d’autorisations de propriétaire sur les ressources Azure doivent être supprimés Les comptes externes avec des autorisations de type propriétaire doivent être supprimés de votre abonnement pour empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en lecture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en lecture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
Les comptes invités disposant d’autorisations en écriture sur les ressources Azure doivent être supprimés Les comptes externes avec des privilèges d'accès en écriture doivent être supprimés de votre abonnement afin d'empêcher un accès non contrôlé. AuditIfNotExists, Désactivé 1.0.0
L’extension Guest Configuration doit être installée sur vos machines Pour garantir des configurations sécurisées des paramètres dans l’invité de votre machine, installez l’extension Guest Configuration. Parmi les paramètres dans l’invité qui sont supervisés par l’extension figurent la configuration du système d’exploitation, la présence ou la configuration de l’application et les paramètres d’environnement. Une fois l’installation terminée, les stratégies dans l’invité seront disponibles, par exemple « Windows Exploit Guard doit être activé ». Pour en savoir plus, rendez-vous sur https://aka.ms/gcpol. AuditIfNotExists, Désactivé 1.0.2
Les machines virtuelles accessibles à partir d’Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles contre les menaces potentielles en limitant leur accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Le transfert IP doit être désactivé sur votre machine virtuelle L’activation du transfert IP sur la carte réseau d’une machine virtuelle permet à cette dernière de recevoir du trafic adressé à d’autres destinations. Le transfert IP n'est que rarement nécessaire (par exemple, lors de l'utilisation de la machine virtuelle en tant qu'appliance virtuelle de réseau). Par conséquent, un examen par l'équipe de sécurité réseau est requis. AuditIfNotExists, Désactivé 3.0.0
Les services Kubernetes doivent être mis à niveau vers une version non vulnérable de Kubernetes Mettez à niveau votre cluster Kubernetes Services vers une version ultérieure de Kubernetes pour le protéger des vulnérabilités connues de votre version Kubernetes actuelle. La vulnérabilité CVE-2019-9946 a été corrigée dans Kubernetes versions 1.11.9+, 1.12.7+, 1.13.5+ et 1.14.0+ Audit, Désactivé 1.0.2
Vous devez installer l’agent d’analytique des journaux d’activité sur vos instances de rôle Services cloud (support étendu) Security Center collecte les données de vos instances de rôle Services cloud (support étendu) pour surveiller les vulnérabilités et les menaces liées à la sécurité. AuditIfNotExists, Désactivé 2.0.0
L’agent Log Analytics doit être installé sur votre machine virtuelle pour la supervision Azure Security Center Cette stratégie audite les machines virtuelles Windows/Linux si l’agent Log Analytics, que Security Center utilise pour superviser les vulnérabilités et les menaces liées à la sécurité, n’est pas installé AuditIfNotExists, Désactivé 1.0.0
L’agent Log Analytics doit être installé sur vos groupes de machines virtuelles identiques pour la supervision Azure Security Center Azure Security Center collecte des données à partir de vos machines virtuelles Azure pour surveiller les menaces et vulnérabilités de sécurité. AuditIfNotExists, Désactivé 1.0.0
Les ports de gestion des machines virtuelles doivent être protégés par un contrôle d’accès réseau juste-à-temps L’éventuel accès juste-à-temps (JIT) au réseau sera supervisé par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les ports de gestion doivent être fermés sur vos machines virtuelles Les ports de gestion à distance ouverts exposent votre machine virtuelle à un niveau de risque élevé des attaques basées sur Internet. Ces attaques tentent d’attaquer par force brute les informations d’identification afin d’obtenir un accès administrateur à l’ordinateur. AuditIfNotExists, Désactivé 3.0.0
L’authentification multifacteur (MFA) doit être activée pour les comptes avec des autorisations d’écriture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en écriture pour éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.1
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de propriétaire sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant d'autorisations de propriétaire afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0
L’authentification multifacteur (MFA) doit être activée sur les comptes disposant d’autorisations de lecture sur votre abonnement MFA (Multi-Factor Authentication) doit être activé pour tous les comptes de l'abonnement disposant de privilèges d'accès en lecture afin d'éviter une violation des comptes ou des ressources. AuditIfNotExists, Désactivé 3.0.0
Microsoft Defender pour API doit être activé Microsoft Defender pour API fournit une nouvelle couverture de découverte, de protection, de détection et de réponse pour surveiller les attaques basées sur les API courantes et les configurations de sécurité incorrectes. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour Azure Cosmos DB doit être activé Microsoft Defender pour Azure Cosmos DB est une couche de sécurité native Azure qui détecte les tentatives d’exploitation des bases de données dans vos comptes Azure Cosmos DB. Defender pour Azure Cosmos DB détecte les injections de code SQL potentielles, les intervenants malveillants connus de Microsoft Threat Intelligence, les modèles d’accès suspects et l’exploitation potentielle de votre base de données par le biais d’identités compromises ou d’utilisateurs infiltrés malveillants. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour les conteneurs doit être activé Microsoft Defender pour les conteneurs fournit des protections renforcées, d’évaluation des vulnérabilités et d’exécution pour vos environnements Kubernetes Azure, hybrides et multiclouds. AuditIfNotExists, Désactivé 1.0.0
Microsoft Defender pour SQL doit être activé pour les espaces de travail Synapse non protégés Activez Defender pour SQL pour protéger vos espaces de travail Synapse. Defender pour SQL surveille Synapse SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. AuditIfNotExists, Désactivé 1.0.0
Superviser les agents Endpoint Protection manquants dans Azure Security Center Les serveurs sans agent Endpoint Protection installé seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles non connectées à Internet doivent être protégées avec des groupes de sécurité réseau Protégez vos machines virtuelles non connectées à Internet contre les menaces potentielles en limitant l’accès avec des groupes de sécurité réseau (NSG). Pour en savoir plus sur le contrôle du trafic avec des groupes de sécurité réseau, consultez https://aka.ms/nsg-doc. AuditIfNotExists, Désactivé 3.0.0
Le contrôle d’accès en fonction du rôle (RBAC) doit être utilisé sur les services Kubernetes Pour fournir un filtrage précis des actions que les utilisateurs peuvent effectuer, utilisez le contrôle d’accès en fonction du rôle (RBAC) pour gérer les autorisations dans les clusters Kubernetes Service et configurez les stratégies d’autorisation appropriées. Audit, Désactivé 1.0.2
Les résultats de l’analyse des vulnérabilités doivent être résolus pour exécuter des images conteneurs L’évaluation des vulnérabilités des images conteneur analyse les images conteneur exécutées sur vos clusters Kubernetes à la recherche de vulnérabilités de sécurité et expose les résultats détaillés pour chaque image. La résolution des vulnérabilités peut améliorer significativement la sécurité de vos conteneurs et les protéger contre les attaques. AuditIfNotExists, Désactivé 1.0.1
Le niveau tarifaire standard Security Center doit être sélectionné Le niveau tarifaire standard permet la détection des menaces sur les réseaux et les machines virtuelles, en fournissant des fonctions de renseignement sur les menaces, la détection d’anomalies et l’analytique de comportement dans Azure Security Center Audit, Désactivé 1.0.0
Les résultats des vulnérabilités des bases de données SQL doivent être résolus Supervisez les résultats de l’analyse des vulnérabilités et les recommandations sur la correction des vulnérabilités liées aux bases de données. AuditIfNotExists, Désactivé 4.0.0
Les résultats des vulnérabilités des serveurs SQL Server sur les machines doivent être résolus L'évaluation des vulnérabilités SQL analyse votre base de données à la recherche de vulnérabilités de sécurité et expose tout écart par rapport aux meilleures pratiques, tel que les erreurs de configuration, les autorisations excessives et les données sensibles non protégées. La résolution des vulnérabilités détectées peut améliorer considérablement la posture de sécurité de votre base de données. AuditIfNotExists, Désactivé 1.0.0
les sous-réseaux doivent être associés à un groupe de sécurité réseau Protégez votre sous-réseau contre les menaces potentielles en y limitant l’accès avec un groupe de sécurité réseau (NSG). Les NSG contiennent une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers votre sous-réseau. AuditIfNotExists, Désactivé 3.0.0
Les abonnements doivent avoir l’adresse e-mail d’un contact pour le signalement des problèmes de sécurité Pour informer les personnes concernées de votre organisation d’une violation de sécurité potentielle dans l’un de vos abonnements, définissez un contact de sécurité qui recevra des notifications par e-mail dans Security Center. AuditIfNotExists, Désactivé 1.0.1
Les mises à jour système sur les groupes de machines virtuelles identiques doivent être installées Vérifiez si des mises à jour de sécurité système et des mises à jour critiques sont manquantes et doivent être installées pour assurer la sécurité de vos groupes de machines virtuelles identiques Windows et Linux. AuditIfNotExists, Désactivé 3.0.0
Les mises à jour système doivent être installées sur vos machines Les mises à jour système de sécurité manquantes sur vos serveurs seront supervisées par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 4.0.0
Plusieurs propriétaires doivent être attribués à votre abonnement Il est recommandé de désigner plusieurs propriétaires d'abonnement pour disposer de la redondance de l'accès administrateur. AuditIfNotExists, Désactivé 3.0.0
Les machines virtuelles doivent chiffrer les disques temporaires, les caches et les flux de données entre les ressources de calcul et de stockage Par défaut, le système d’exploitation et les disques de données d’une machine virtuelle sont chiffrés au repos à l’aide de clés gérées par la plateforme. Les disques temporaires, les caches de données et le flux de données entre le calcul et le stockage ne sont pas chiffrés. Ignorez cette recommandation dans les deux cas suivants : Vous utilisez le chiffrement sur l’hôte. Le chiffrement côté serveur des Disques managés répond à vos besoins en matière de sécurité. Pour en savoir plus, consultez : Chiffrement côté serveur de Stockage sur disque Azure : https://aka.ms/disksse, Différentes offres de chiffrement de disque : https://aka.ms/diskencryptioncomparison AuditIfNotExists, Désactivé 2.0.3
L’extension Guest Configuration des machines virtuelles doit être déployée avec une identité managée attribuée par le système L’extension Guest Configuration requiert une identité managée affectée par le système. Les machines virtuelles Azure se trouvant dans l’étendue de cette stratégie ne sont pas conformes quand elles disposent de l’extension Guest Configuration mais qu’elles n’ont pas d’identité managée affectée par le système. Pour en savoir plus, voir https://aka.ms/gcpol AuditIfNotExists, Désactivé 1.0.1
Les vulnérabilités dans les configurations de la sécurité des conteneurs doivent être corrigées Auditer les vulnérabilités dans la configuration de sécurité sur les machines où Docker est installé et afficher en tant que recommandations dans Azure Security Center. AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité sur vos machines doivent être corrigées Les serveurs qui ne respectent pas la base de référence configurée seront supervisés par Azure Security Center en tant que recommandation AuditIfNotExists, Désactivé 3.0.0
Les vulnérabilités dans la configuration de la sécurité de vos groupes de machines virtuelles identiques doivent être corrigées Auditez les vulnérabilités de système d’exploitation dans vos groupes de machines virtuelles identiques pour les protéger des attaques. AuditIfNotExists, Désactivé 3.0.0

Service Bus

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Toutes les règles d’autorisation, sauf RootManageSharedAccessKey, doivent être supprimées de l’espace de noms Service Bus Les clients Service Bus ne doivent pas utiliser une stratégie d’accès au niveau de l’espace de noms qui donne accès à l’ensemble des files d’attente et rubriques d’un espace de noms. Pour respecter le modèle de sécurité basé sur le privilège minimum, vous devez créer des stratégies d’accès au niveau de l’entité pour les files d’attente et les rubriques afin de limiter l’accès à l’entité spécifique Audit, Refuser, Désactivé 1.0.1
Azure Service Bus espaces de noms doivent avoir des méthodes d’authentification locales désactivées La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir que les espaces de noms Azure Service Bus imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. Audit, Refuser, Désactivé 1.0.0
Les espaces de noms Azure Service Bus doivent utiliser la liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des espaces de noms Service Bus, les risques de fuite de données sont réduits. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Désactivé 1.0.0
Configurer les espaces de noms Azure Service Bus pour désactiver l’authentification locale Désactivez les méthodes d’authentification locales pour que vos espaces de noms Azure ServiceBus imposent exclusivement des identités Azure Active Directory pour l’authentification. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/disablelocalauth-sb. Modifier, Désactivé 1.0.0
Configurer les espaces de noms Service Bus pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour le résoudre en espaces de noms Service Bus. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Configurer des espaces de noms Service Bus avec des points de terminaison privés Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des espaces de noms Service Bus, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous à l’adresse suivante : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. DeployIfNotExists, Désactivé 1.0.0
Les journaux de ressources dans Service Bus doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
Les espaces de noms Service Bus doivent désactiver l’accès au réseau public Azure Service Bus doit avoir l’accès au réseau public désactivé. La désactivation de l’accès réseau public améliore la sécurité en veillant à ce que la ressource ne soit pas exposée sur l’Internet public. Vous pouvez limiter l’exposition de vos ressources en créant des points de terminaison privés à la place. Plus d’informations sur : https://docs.microsoft.com/azure/service-bus-messaging/private-link-service Audit, Refuser, Désactivé 1.0.0
Le chiffrement double doit être activé pour les espaces de noms Service Bus Le fait d’activer le chiffrement double vous aide à protéger et à préserver vos données de façon à répondre aux engagements de votre entreprise concernant la sécurité et la conformité. Lorsque le chiffrement double est activé, les données d’un compte de stockage sont chiffrées deux fois : une fois au niveau du service et une fois au niveau de l’infrastructure, avec deux algorithmes de chiffrement différents et deux clés différentes. Audit, Refuser, Désactivé 1.0.0
Les espaces de noms Service Bus Premium doivent utiliser une clé gérée par le client pour le chiffrement Azure Service Bus prend en charge le chiffrement des données au repos à l’aide de clés gérées par Microsoft (par défaut) ou de clés gérées par le client. Si vous choisissez de chiffrer les données à l’aide de clés gérées par le client, vous pouvez attribuer, faire pivoter, désactiver et révoquer l’accès aux clés utilisées par Service Bus pour chiffrer les données dans votre espace de noms. Notez que Service Bus ne prend en charge que le chiffrement avec des clés gérées par le client pour les espaces de noms premium. Audit, Désactivé 1.0.0

Service Fabric

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
La propriété ClusterProtectionLevel doit être définie sur EncryptAndSign pour les clusters Service Fabric Service Fabric fournit trois niveaux de protection (None, Sign et EncryptAndSign) pour la communication nœud à nœud à l’aide d’un certificat de cluster principal. Définissez le niveau de protection pour vous assurer que tous les messages de nœud à nœud sont chiffrés et signés numériquement Audit, Refuser, Désactivé 1.1.0
Les clusters Service Fabric ne doivent utiliser Azure Active Directory que pour l’authentification client Auditer l'utilisation de l'authentification client uniquement par le biais d'Azure Active Directory dans Service Fabric Audit, Refuser, Désactivé 1.1.0

SignalR

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Azure SignalR Service doit désactiver l’accès réseau public Pour améliorer la sécurité de la ressource Azure SignalR Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/asrs/networkacls. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.0
Le service Azure SignalR Service doit activer les journaux de diagnostic Auditer l’activation des journaux de diagnostic. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 1.0.0
Les méthodes d’authentification locales doivent être désactivées pour Azure SignalR Service La désactivation des méthodes d’authentification locales améliore la sécurité dans la mesure où cela permet de garantir qu’Azure SignalR Service impose exclusivement des identités Azure Active Directory pour l’authentification. Audit, Refuser, Désactivé 1.0.0
Azure SignalR Service doit utiliser un SKU avec Private Link activé Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique sur la source ou la destination, ce qui protège vos ressources contre les risques de fuite de données publiques. La stratégie vous oblige à utiliser un SKU avec Private Link activé pour Azure SignalR Service. Pour en savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Refuser, Désactivé 1.0.0
Azure SignalR Service doit utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme de la liaison privée gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant les points de terminaison privés à votre ressource Azure SignalR Service au lieu du service entier, vous réduisez les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/asrs/privatelink. Audit, Désactivé 1.0.0
Configurer Azure SignalR Service pour désactiver l’authentification locale Désactivez les méthodes d’authentification locale afin que votre instance Azure SignalR Service demande exclusivement les identités Azure Active Directory pour l’authentification. Modifier, Désactivé 1.0.0
Configurer des points de terminaison privés sur Azure SignalR Service Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à des ressources Azure SignalR Service, vous pouvez réduire les risques de fuite de données. Pour en savoir plus, rendez-vous sur https://aka.ms/asrs/privatelink. DeployIfNotExists, Désactivé 1.0.0
Déployer : configurer des zones DNS privées pour les points de terminaison privés qui se connectent à Azure SignalR Service Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel pour effectuer la résolution en ressource Azure SignalR Service. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/asrs/privatelink. DeployIfNotExists, Désactivé 1.0.0
Modifier les ressources Azure SignalR Service pour désactiver l’accès réseau public Pour améliorer la sécurité de la ressource Azure SignalR Service, vérifiez qu’elle n’est pas exposée à l’Internet public et qu’elle est accessible seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/asrs/networkacls. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Modifier, Désactivé 1.0.0

Site Recovery

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : Configurer des coffres Azure Recovery Services pour utiliser des zones DNS privées Utilisez des zones DNS privées pour remplacer la résolution DNS pour un point de terminaison privé. Une zone DNS privée est liée à votre réseau virtuel afin de permettre des opérations de résolution pour les coffres Recovery Services Vaults. Pour en savoir plus, rendez-vous à l’adresse suivante : https://aka.ms/privatednszone. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Configurer des points de terminaison privés sur des coffres Azure Recovery Services Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant les points de terminaison privés aux ressources de récupération de site des coffres Recovery Services, vous pouvez réduire les risques de fuite de données. Pour utiliser des liaisons privées, vous devez affecter l’identité MSI (Managed Service Identity) aux coffres Recovery Services. En savoir plus sur les liaisons privées : https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. DeployIfNotExists, Désactivé 1.0.0-preview
[Préversion] : [Préversion] : Les coffres Recovery Services doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à des coffres Azure Recovery Services, les risques de fuite de données sont réduits. Découvrez plus en détail les liaisons privées pour Azure Site Recovery sur https://aka.ms/HybridScenarios-PrivateLink et https://aka.ms/AzureToAzure-PrivateLink. Audit, Désactivé 1.0.0-preview

SQL

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Un administrateur Azure Active Directory doit être approvisionné pour les serveurs SQL Auditer l’approvisionnement d’un administrateur Azure Active Directory pour votre serveur SQL afin d’activer l’authentification Azure AD. L’authentification Azure AD permet une gestion simplifiée des autorisations et une gestion centralisée des utilisateurs de bases de données et d’autres services Microsoft AuditIfNotExists, Désactivé 1.0.0
L’audit sur SQL Server doit être activé L’audit sur votre serveur SQL Server doit être activé pour suivre les activités de toutes les bases de données du serveur et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 2.0.0
Vous devez activer Azure Defender pour SQL pour les serveurs Azure SQL non protégés Auditer les serveurs SQL sans Advanced Data Security AuditIfNotExists, Désactivé 2.0.1
Vous devez activer Azure Defender pour SQL pour les instances SQL Managed Instance non protégées Auditez chaque instance managée SQL sans Advanced Data Security. AuditIfNotExists, Désactivé 1.0.2
Azure SQL Database doit exécuter TLS version 1.2 ou ultérieure La définition de la version de TLS sur 1.2 ou une version ultérieure améliore la sécurité en garantissant que votre instance Azure SQL Database n’est accessible qu’à partir de clients utilisant TLS 1.2 ou version ultérieure. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. Audit, Désactivé, Refus 2.0.0
Azure SQL Database doit avoir uniquement l’authentification Azure Active Directory activée La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Azure Active Directory seule améliorent la sécurité en garantissant que les bases de données Azure SQL sont accessibles exclusivement par les identités Azure Active Directory. Plus d’informations sur : aka.ms/adonlycreate. Audit, Refuser, Désactivé 1.0.0
Azure SQL Managed Instance doit avoir uniquement l’authentification Azure Active Directory activée La désactivation des méthodes d’authentification locales et l’autorisation de l’authentification Azure Active Directory seule améliorent la sécurité en garantissant que les instances managées Azure SQL sont accessibles exclusivement par les identités Azure Active Directory. Plus d’informations sur : aka.ms/adonlycreate. Audit, Refuser, Désactivé 1.0.0
Azure SQL Managed Instances doit désactiver l’accès au réseau public La désactivation de l’accès au réseau public (point de terminaison public) sur les instances managées Azure SQL améliore la sécurité en garantissant qu’elles ne peuvent être accessibles qu’à partir de leurs réseaux virtuels ou via des points de terminaison privés. Pour en savoir plus sur l’accès au réseau public, consultez https://aka.ms/mi-public-endpoint. Audit, Refuser, Désactivé 1.0.0
Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database for MariaDB Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour MariaDB de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. DeployIfNotExists, Désactivé 1.0.1
Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database pour MySQL Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour MySQL de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. DeployIfNotExists, Désactivé 1.0.1
Configurer la protection avancée contre les menaces pour qu’elle soit activée sur des serveurs Azure Database pour PostgreSQL Activez la protection avancée contre les menaces sur vos serveurs Azure Database pour PostgreSQL de niveau non basique afin de détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’attaque ou d’accès aux bases de données. DeployIfNotExists, Désactivé 1.0.1
Configurez des machines avec Arc exécutant SQL Server pour installer l’extension SQL Server. Pour être sûr que les ressources SQL Server ou Azure Arc sont créées par défaut lorsque l’instance SQL Server est trouvée sur le serveur Windows/Linux compatible avec Azure Arc, l’extension SQL Server doit être installée sur ce dernier DeployIfNotExists, Désactivé 3.1.0
Configurer Azure Defender à activer sur les instances managées SQL Activez Azure Defender sur vos instances managées Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. DeployIfNotExists, Désactivé 2.0.0
Configurer Azure Defender à activer sur les serveurs SQL Activez Azure Defender sur vos serveurs Azure SQL pour détecter les activités anormales indiquant des tentatives inhabituelles et potentiellement dangereuses d’accès ou d’exploitation des bases de données. DeployIfNotExists 2.1.0
Configurer les paramètres de diagnostic des serveurs de base de données Azure SQL dans l’espace de travail Log Analytics Active les journaux d’audit pour le serveur Azure SQL Database et transmet les journaux en continu à un espace de travail Log Analytics quand un serveur SQL Server auquel il manque cet audit est créé ou mis à jour. DeployIfNotExists, Désactivé 1.0.2
Configurer Azure SQL Server pour désactiver l’accès réseau public La désactivation de la propriété d’accès au réseau public arrête la connectivité publique, de sorte qu’Azure SQL Server n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès au réseau public pour toutes les bases de données sous l’instance d’Azure SQL Server. Modifier, Désactivé 1.0.0
Configurer Azure SQL Server pour activer des connexions de point de terminaison privé Une connexion de point de terminaison privée permet une connectivité privée à votre instance Azure SQL Database via une adresse IP privée au sein d’un réseau virtuel. Cette configuration améliore votre posture de sécurité et prend en charge les outils et scénarios de mise en réseau d’Azure. DeployIfNotExists, Désactivé 1.0.0
Configurer des serveurs SQL pour activer l’audit Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Cela est parfois nécessaire pour la conformité aux normes réglementaires. DeployIfNotExists, Désactivé 3.0.0
Configurer des serveurs SQL pour que l’audit soit activé pour l’espace de travail Log Analytics Pour vous assurer que les opérations effectuées sur vos ressources SQL sont capturées, l’audit doit être activé sur les serveurs SQL. Si l’audit n’est pas activé, cette stratégie configure les événements d’audit à acheminer vers l’espace de travail Log Analytics spécifié. DeployIfNotExists, Désactivé 1.0.0
La limitation de connexion doit être activée pour les serveurs de base de données PostgreSQL Cette stratégie aide à auditer toutes les bases de données PostgreSQL de votre environnement sans activer la limitation de connexion. Ce paramètre active la limitation de connexion temporaire par adresse IP à la suite d’un trop grand nombre de connexions infructueuses avec des mots de passe non valides. AuditIfNotExists, Désactivé 1.0.0
Déployer : configurer les paramètres de diagnostic pour les bases de données SQL pour l’envoi à un espace de travail Log Analytics Déploie les paramètres de diagnostic pour des bases de données SQL afin de diffuser les journaux de ressources vers un espace de travail Log Analytics en cas de création ou de mise à jour de toute base de données SQL n’ayant pas ces paramètres de diagnostic. DeployIfNotExists, Désactivé 4.0.0
Déployer Advanced Data Security sur des serveurs SQL Cette stratégie active Advanced Data Security sur les serveurs SQL. (ce qui entraîne l’activation de la détection des menaces et de l’évaluation des vulnérabilités). Elle crée automatiquement un compte de stockage dans la même région et le même groupe de ressources que le serveur SQL pour stocker les résultats de l’analyse, avec le préfixe « sqlva ». DeployIfNotExists 1.3.0
Déployer les paramètres de diagnostic d’Azure SQL Database sur Event Hub Déploie les paramètres de diagnostic d’Azure SQL Database pour les envoyer en streaming dans un hub d’événements régional sur une base de données Azure SQL nouvelle ou mise à jour pour laquelle les paramètres de diagnostic sont manquants. DeployIfNotExists 1.2.0
Déployer le chiffrement transparent des données sur les bases de données SQL Active Transparent Data Encryption sur les bases de données SQL DeployIfNotExists, Désactivé 2.1.0
Les déconnexions doivent être journalisées pour les serveurs de bases de données PostgreSQL. Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_disconnections. AuditIfNotExists, Désactivé 1.0.0
L’application de la connexion SSL doit être activée pour les serveurs de base de données MySQL La base de données Azure pour MySQL prend en charge la connexion de votre serveur Azure Database pour MySQL aux applications clientes à l’aide de Secure Sockets Layer (SSL). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
L’application de la connexion SSL doit être activée pour les serveurs de base de données PostgreSQL Azure Database pour PostgreSQL prend en charge la connexion de votre serveur Azure Database pour PostgreSQL aux applications clientes via SSL (Secure Sockets Layer). L’application de connexions SSL entre votre serveur de base de données et vos applications clientes vous protège contre les « attaques de l’intercepteur » en chiffrant le flux de données entre le serveur et votre application. Cette configuration garantit que le protocole SSL est toujours activé pour l’accès à votre serveur de base de données. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database for MariaDB Azure Database for MariaDB vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour MySQL Azure Database pour MySQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
La sauvegarde géoredondante doit être activée pour Azure Database pour PostgreSQL Azure Database pour PostgreSQL vous permet de choisir l’option de redondance pour votre serveur de base de données. Vous pouvez choisir un stockage de sauvegarde géoredondant. Dans ce cas, les données sont non seulement stockées dans la région qui héberge votre serveur, mais elles sont aussi répliquées dans une région jumelée pour offrir une possibilité de récupération en cas de défaillance régionale. La configuration du stockage géoredondant pour la sauvegarde est uniquement possible lors de la création du serveur. Audit, Désactivé 1.0.1
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour MySQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour MySQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2. Audit, Refuser, Désactivé 1.0.0
Le chiffrement d’infrastructure doit être activé sur les serveurs Azure Database pour PostgreSQL Activez le chiffrement d’infrastructure pour les serveurs Azure Database pour PostgreSQL garantir une sécurité renforcée des données. Lorsque le chiffrement de l’infrastructure est activé, les données au repos sont chiffrées deux fois à l’aide des clés gérées par Microsoft conformes FIPS 140-2 Audit, Refuser, Désactivé 1.0.0
Les points de contrôle de journal doivent être activés pour les serveurs de bases de données PostgreSQL Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_checkpoints. AuditIfNotExists, Désactivé 1.0.0
Les connexions de journal doivent être activées pour les serveurs de bases de données PostgreSQL Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_connections. AuditIfNotExists, Désactivé 1.0.0
La durée de journal doit être activée pour les serveurs de bases de données PostgreSQL Cette stratégie permet d’auditer toutes les bases de données PostgreSQL de votre environnement sans activer le paramètre log_duration. AuditIfNotExists, Désactivé 1.0.0
La sauvegarde géoredondante à long terme doit être activée pour les bases de données Azure SQL Cette stratégie permet d’effectuer un audit d’une base de données Azure SQL Database si la sauvegarde géoredondante à long terme n’est pas activée. AuditIfNotExists, Désactivé 2.0.0
Le serveur MariaDB doit utiliser un point de terminaison de service de réseau virtuel Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database for MariaDB tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database for MariaDB utilise actuellement un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.2
Le serveur MySQL doit utiliser un point de terminaison de service de réseau virtuel Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour MySQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour MySQL utilise actuellement un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.2
Les serveurs MySQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs MySQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Le serveur PostgreSQL doit utiliser un point de terminaison de service de réseau virtuel Les règles de pare-feu basées sur un réseau virtuel permettent d’autoriser le trafic à partir d’un sous-réseau spécifique vers Azure Database pour PostgreSQL tout en garantissant le maintien du trafic dans la limite Azure. Avec cette stratégie, il est possible de vérifier si Azure Database pour PostgreSQL utilise actuellement un point de terminaison de service de réseau virtuel. AuditIfNotExists, Désactivé 1.0.2
Les serveurs PostgreSQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos de vos serveurs PostgreSQL. Par défaut, les données sont chiffrées au repos avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. AuditIfNotExists, Désactivé 1.0.4
Les connexions des points de terminaison privés sur Azure SQL Database doivent être activées Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure SQL Database privée. Audit, Désactivé 1.1.0
Le point de terminaison privé doit être activé pour les serveurs MariaDB Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database for MariaDB privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs MySQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour MySQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
Le point de terminaison privé doit être activé pour les serveurs PostgreSQL Les connexions des points de terminaison privés permettent de sécuriser les communications en rendant la connectivité à Azure Database pour PostgreSQL privée. Configurez une connexion de point de terminaison privé pour autoriser l’accès uniquement au trafic provenant de réseaux connus et empêcher l’accès à partir de toutes les autres adresses IP, y compris dans Azure. AuditIfNotExists, Désactivé 1.0.2
L’accès au réseau public sur Azure SQL Database doit être désactivé Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque votre base de données Azure SQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration interdit toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 1.1.0
L’accès au réseau public doit être désactivé pour les serveurs MariaDB Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database for MariaDB n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs flexibles MySQL Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour MySQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs MySQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour MySQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
L’accès au réseau public doit être désactivé pour les serveurs flexibles PostgreSQL Le fait de désactiver la propriété d’accès au réseau public permet d’améliorer la sécurité puisque vos serveurs flexibles Azure Database pour PostgreSQL ne sont accessibles qu’à partir d’un point de terminaison privé. Cette configuration désactive strictement l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 3.0.0
L’accès au réseau public doit être désactivé pour les serveurs PostgreSQL Désactivez la propriété d’accès au réseau public pour améliorer la sécurité et vous assurer que votre compte Azure Database pour PostgreSQL n’est accessible qu’à partir d’un point de terminaison privé. Cette configuration désactive l’accès à partir de tout espace d’adressage public en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions visées par des règles de pare-feu basées sur l’adresse IP ou le réseau virtuel. Audit, Refuser, Désactivé 2.0.0
Les paramètres d’audit SQL doivent avoir des groupes d’actions configurés pour capturer les activités critiques La propriété AuditActionsAndGroups doit contenir au moins SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP pour assurer la journalisation totale de l’audit AuditIfNotExists, Désactivé 1.0.0
SQL Database doit éviter d’utiliser la redondance de sauvegarde GRS Les bases de données doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. Deny, Disabled 2.0.0
SQL Managed Instance doit avoir la version TLS minimale 1.2 La définition de la version TLS minimale sur 1.2 améliore la sécurité en garantissant que votre SQL Managed Instance n’est accessible qu’à partir des clients utilisant TLS 1.2. L’utilisation de versions de TLS inférieures à 1.2 n’est pas recommandée, car elles ont des vulnérabilités de sécurité bien documentées. Audit, Désactivé 1.0.1
Les instances managées SQL doivent éviter d’utiliser la redondance de sauvegarde GRS Les instances managées doivent éviter d’utiliser le stockage géoredondant par défaut pour les sauvegardes si des règles de résidence des données nécessitent que les données restent dans une région spécifique. Remarque : Azure Policy n’est pas appliqué lors de la création d’une base de données via T-SQL. Sauf spécification explicite, la base de données avec un stockage de sauvegarde géoredondant est créée via T-SQL. Deny, Disabled 2.0.0
Les instances managées SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.0
Les serveurs SQL doivent utiliser des clés gérées par le client pour chiffrer les données au repos L’implémentation de TDE (Transparent Data Encryption) avec votre propre clé vous offre les avantages suivants : transparence et contrôle améliorés sur le protecteur TDE, sécurité renforcée avec un service externe HSM et promotion de la séparation des tâches. Cette recommandation s’applique aux organisations ayant une exigence de conformité associée. Audit, Refuser, Désactivé 2.0.1
Les serveurs SQL avec un audit dans la destination Compte de stockage doivent être configurés avec une conservation d'au moins 90 jours À des fins d’investigation d’incident, nous vous recommandons de définir la conservation des données pour la fonctionnalité d’audit de votre serveur SQL Server sur au moins 90 jours. Confirmez que vous respectez les règles de conservation nécessaires pour les régions dans lesquelles vous travaillez. Cela est parfois nécessaire pour la conformité aux normes réglementaires. AuditIfNotExists, Désactivé 3.0.0
Transparent Data Encryption sur les bases de données SQL doit être activé Le chiffrement transparent des données doit être activé pour protéger les données au repos et respecter les conditions de conformité requises AuditIfNotExists, Désactivé 2.0.0
La règle de pare-feu de réseau virtuel sur Azure SQL Database doit être activée pour autoriser le trafic à partir du sous-réseau spécifié Les règles de pare-feu basées sur un réseau virtuel autorisent le trafic à partir d’un sous-réseau spécifique vers Azure SQL Database tout en veillant à ce que ce trafic reste dans la limite Azure. AuditIfNotExists 1.0.0
Les paramètres d’évaluation des vulnérabilités de SQL Server doivent contenir une adresse e-mail pour recevoir les rapports d’analyse Vérifiez qu’une adresse e-mail est fournie pour le champ « Envoyer les rapports d’analyse à » dans les paramètres d’évaluation des vulnérabilités. Cette adresse e-mail reçoit le récapitulatif des résultats d’analyse après l’exécution d’une analyse périodique sur les serveurs SQL. AuditIfNotExists, Désactivé 2.0.0
L’évaluation des vulnérabilités doit être activée sur SQL Managed Instance Auditez chaque instance managée SQL qui n’a pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 1.0.1
L’évaluation des vulnérabilités doit être activée sur vos serveurs SQL Auditez les serveurs Azure SQL qui n’ont pas d’analyses récurrentes d’évaluation des vulnérabilités activées. L’évaluation des vulnérabilités peut découvrir et suivre les potentielles vulnérabilités de base de données, et vous aider à y remédier. AuditIfNotExists, Désactivé 2.0.0

Stockage

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
[Préversion] : [Préversion] : L’accès public au compte de stockage doit être interdit L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. audit, Audit, refus, Refus, désactivé, Désactivé 3.1.0-preview
Azure File Sync doit utiliser une liaison privée La création d’un point de terminaison privé pour la ressource de service de synchronisation de stockage indiquée vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. La création d’un point de terminaison privé ne désactive pas le point de terminaison public. AuditIfNotExists, Désactivé 1.0.0
Azure NetApp Files volumes SMB doivent utiliser le chiffrement SMB3 Interdire la création de volumes SMB sans chiffrement SMB3 pour garantir l’intégrité des données et la confidentialité des données. Audit, Refuser, Désactivé 1.0.0
Azure NetApp Files volumes de type NFSv4.1 doivent utiliser le chiffrement des données Kerberos Autorisez uniquement l’utilisation du mode de sécurité de confidentialité Kerberos (5p) pour garantir le chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Azure NetApp Files volumes de type NFSv4.1 doivent utiliser l’intégrité des données Kerberos ou la confidentialité des données Assurez-vous qu’au moins l’intégrité Kerberos (krb5i) ou la confidentialité Kerberos (krb5p) est sélectionnée pour garantir l’intégrité des données et la confidentialité des données. Audit, Refuser, Désactivé 1.0.0
Les volumes Azure NetApp Files ne doivent pas utiliser le type de protocole NFSv3 Interdisez l’utilisation du type de protocole NFSv3 pour empêcher l’accès non sécurisé aux volumes. NFSv 4.1 avec le protocole Kerberos doit être utilisé pour accéder aux volumes NFS afin de garantir l’intégrité et le chiffrement des données. Audit, Refuser, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe d’objets blob Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe d’objets blob. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe blob_secondary Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe blob_secondary. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe dfs Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe dfs. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe dfs_secondary Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe dfs_secondary. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe de fichiers Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de fichiers. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe de files d’attente Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de files d’attente. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe queue_secondary Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe queue_secondary. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe de tables Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe de tables. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe table_secondary Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe table_secondary. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe web Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe web. DeployIfNotExists, Désactivé 1.0.0
Configurer un ID de zone DNS privée pour l’ID de groupe web_secondary Configurez un groupe de zones DNS privées pour remplacer la résolution DNS d’un point de terminaison privé de l’ID de groupe web_secondary. DeployIfNotExists, Désactivé 1.0.0
Configurer Azure File Sync pour utiliser des zones DNS privées Pour accéder au ou aux points de terminaison privés pour les interfaces de ressource du service de synchronisation du stockage à partir d’un serveur inscrit, vous devez configurer votre DNS pour qu’il résolve les noms corrects des adresses IP privées de votre point de terminaison privé. Cette stratégie crée la zone de DNS privé Azure requise et les enregistrements A pour les interfaces de vos points de terminaison privés pour le service de synchronisation de stockage. DeployIfNotExists, Désactivé 1.1.0
Configurer Azure File Sync avec des points de terminaison privés Un point de terminaison privé est déployé pour la ressource de service de synchronisation de stockage indiquée. Cela vous permet d’adresser votre ressource de service de synchronisation de stockage à partir de l’espace d’adressage IP privé du réseau de votre organisation, plutôt que via le point de terminaison public accessible via Internet. L’existence d’un ou plusieurs points de terminaison privés ne désactive pas le point de terminaison public. DeployIfNotExists, Désactivé 1.0.0
Configurer les paramètres de diagnostic des services BLOB vers l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services BLOB pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service BLOB nouveau ou mis à jour n'a pas ces paramètres de diagnostic. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Configurer les paramètres de diagnostic des services de fichiers vers l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services de fichier pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de fichier nouveau ou mis à jour n'a pas ces paramètres de diagnostic. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Configurer les paramètres de diagnostic des services de File d’attente vers l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services de File d'attente pour diffuser en continu des journaux vers un espace de travail Log Analytics quand un service de File d'attente nouveau ou mis à jour n'a pas ces paramètres de diagnostic. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Configurer les paramètres de diagnostic de comptes de stockage dans l’espace de travail Log Analytics Déploie les paramètres de diagnostic des comptes de stockage pour diffuser en continu des journaux à un espace de travail Log Analytics quand n’importe quel compte de stockage nouveau ou mis à jour n'a pas ces paramètres de diagnostic. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Configurer les paramètres de diagnostic des services de table vers l’espace de travail Log Analytics Déploie les paramètres de diagnostic des services de table pour diffuser en continu des journaux vers un espace de travail Log Analytics quand n’importe quel service de table nouveau ou mis à jour n'a pas ces paramètres de diagnostic. DeployIfNotExists, AuditIfNotExists, Disabled 4.0.0
Configurer le transfert sécurisé de données sur un compte de stockage L’option de sécurisation du transfert oblige le compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Modifier, Désactivé 1.0.0
Configurer le compte de stockage pour utiliser une connexion de liaison privée Les points de terminaison privés vous permettent de connecter votre réseau virtuel aux services Azure sans IP publique au niveau de la source ou de la destination. En mappant des points de terminaison privés à votre compte de stockage, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview DeployIfNotExists, Désactivé 1.0.0
Configurer les comptes de stockage pour désactiver l’accès réseau public Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Modifier, Désactivé 1.0.1
Configurer l’accès public de votre compte de stockage pour qu’il ne soit pas autorisé L’accès en lecture public anonyme aux conteneurs et aux blobs dans Stockage Azure est un moyen pratique de partager des données, mais peut présenter des risques pour la sécurité. Pour éviter les violations de données provoquées par un accès anonyme non souhaité, Microsoft recommande d’empêcher l’accès public à un compte de stockage, sauf si votre scénario l’exige. Modifier, Désactivé 1.0.0
Déployer Advanced Threat Protection sur les comptes de stockage Cette stratégie active Advanced Threat Protection sur les comptes de stockage. DeployIfNotExists, Désactivé 1.0.0
Le stockage géoredondant doit être activé pour les comptes de stockage Utiliser la géoredondance pour créer des applications hautement disponibles Audit, Désactivé 1.0.0
Les comptes HPC Cache doivent utiliser une clé gérée par le client pour le chiffrement Gérez le chiffrement au repos d’Azure HPC Cache avec des clés gérées par le client. Par défaut, les données client sont chiffrées avec des clés gérées par le service. Cependant, des clés gérées par le client sont généralement nécessaires pour répondre aux standards de la conformité réglementaire. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Audit, Désactivé, Refus 2.0.0
Modifier - Configurer Azure File Sync pour désactiver l’accès au réseau public Le point de terminaison public accessible sur Internet d’Azure File Sync est désactivé par la stratégie de votre organisation. Vous pouvez toujours accéder au service de synchronisation de stockage via son ou ses points de terminaison privés. Modifier, Désactivé 1.0.0
L’accès au réseau public doit être désactivé pour Azure File Sync La désactivation du point de terminaison public vous permet de restreindre l’accès à votre ressource de service de synchronisation de stockage aux requêtes destinées à des points de terminaison privés approuvés sur le réseau de votre organisation. Il n’y a pas de problème de sécurité inhérent à l’autorisation des requêtes au point de terminaison public. Toutefois, vous souhaiterez peut-être la désactiver pour répondre aux exigences réglementaires, légales ou de stratégie organisationnelle. Vous pouvez désactiver le point de terminaison public pour un service de synchronisation de stockage en définissant incomingTrafficPolicy pour la ressource sur AllowVirtualNetworksOnly. Audit, Refuser, Désactivé 1.0.0
Le stockage file d’attente doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre stockage de file d’attente avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Refuser, Désactivé 1.0.0
La sécurisation du transfert vers des comptes de stockage doit être activée Auditer l’exigence de transfert sécurisé dans votre compte de stockage. L’option de sécurisation du transfert oblige votre compte de stockage à accepter uniquement des requêtes provenant de connexions sécurisées (HTTPS). L’utilisation de HTTPS garantit l’authentification entre le serveur et le service et protège les données en transit contre les attaques de la couche réseau (attaque de l’intercepteur ou « man-in-the-middle », écoute clandestine, détournement de session) Audit, Refuser, Désactivé 2.0.0
Les étendues de chiffrement des comptes de stockage doivent utiliser des clés gérées par le client pour chiffrer les données au repos Utilisez des clés gérées par le client pour gérer le chiffrement au repos des étendues de chiffrement des comptes de stockage. Les clés gérées par le client permettent de chiffrer les données avec une clé Azure Key Vault que vous avez créée et dont vous êtes le propriétaire. Vous avez le contrôle total et la responsabilité du cycle de vie des clés, notamment leur permutation et leur gestion. Découvrez-en plus sur les étendues de chiffrement des comptes de stockage à l’adresse https://aka.ms/encryption-scopes-overview. Audit, Refuser, Désactivé 1.0.0
Les étendues de chiffrement de compte de stockage doivent utiliser le chiffrement double pour les données au repos Activez le chiffrement d’infrastructure pour le chiffrement au repos de vos étendues de chiffrement de compte de stockage afin de renforcer la sécurité. Le chiffrement d’infrastructure garantit que vos données sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les clés de compte de stockage ne doivent pas être expirées Assurez-vous que les clés de compte de stockage utilisateur ne sont pas expirées quand la stratégie d’expiration de clé est définie pour améliorer la sécurité des clés de compte en intervenant quand les clés sont expirées. Audit, Refuser, Désactivé 3.0.0
Les comptes de stockage doivent autoriser l’accès à partir des services Microsoft approuvés Certains services Microsoft qui interagissent avec les comptes de stockage fonctionnent à partir de réseaux qui ne peuvent pas obtenir l’accès par le biais des règles de réseau. Pour que ce type de service fonctionne comme prévu, autorisez l’ensemble des services Microsoft approuvés à contourner les règles de réseau. Ces services utilisent alors une authentification forte pour accéder au compte de stockage. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent être limités en fonction des références SKU autorisées Limitez l’ensemble des références SKU de compte de stockage que votre organisation peut déployer. Audit, Refuser, Désactivé 1.1.0
Les comptes de stockage doivent être migrés vers de nouvelles ressources Azure Resource Manager Profitez des nouveautés d’Azure Resource Manager pour renforcer la sécurité de vos comptes de stockage : contrôle d’accès plus puissant, audit amélioré, déploiement et gouvernance basés sur Azure Resource Manager, accès aux identités managées, accès au coffre de clés pour les secrets, authentification basée sur Azure AD, prise en charge des étiquettes et des groupes de ressources pour faciliter la gestion de la sécurité, etc. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent désactiver l’accès au réseau public Pour améliorer la sécurité des comptes de stockage, vérifiez qu’ils ne sont pas exposés à l’Internet public et qu’ils sont accessibles seulement à partir d’un point de terminaison privé. Désactivez la propriété d’accès réseau public, comme décrit dans https://aka.ms/storageaccountpublicnetworkaccess. Cette option désactive l’accès à partir de tout espace d’adressage public situé en dehors de la plage d’adresses IP Azure, et refuse toutes les connexions qui correspondent aux règles de pare-feu basées sur des adresses IP ou un réseau virtuel. Cette configuration réduit les risques de fuite de données. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent avoir le chiffrement d’infrastructure activé Activez le chiffrement d’infrastructure pour garantir une sécurité renforcée des données. Quand le chiffrement d’infrastructure est activé, les données d’un compte de stockage sont chiffrées deux fois. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent avoir des stratégies de signature d’accès partagé (SAP) configurées Vérifiez que la stratégie d’expiration des signatures d’accès partagé (SAP) est activée pour les comptes de stockage. Les utilisateurs utilisent une signature d’accès partagé pour déléguer l’accès aux ressources dans un compte de stockage Azure. Et la stratégie d’expiration de signature d’accès partagé recommande une limite d’expiration supérieure quand un utilisateur crée un jeton SAP. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent avoir la version TLS minimale spécifiée Configurez une version TLS minimale pour sécuriser la communication entre l’application cliente et le compte de stockage. Pour réduire le risque de sécurité, la version minimale recommandée de TLS est la dernière version publiée, qui est actuellement TLS 1.2. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent empêcher la réplication d’objets inter-locataires Auditez la restriction de la réplication d’objets pour votre compte de stockage. Par défaut, les utilisateurs peuvent configurer la réplication d’objets avec un compte de stockage source dans un locataire Azure AD et un compte de destination dans un autre locataire. Il s’agit d’un problème de sécurité, car les données du client peuvent être répliquées vers un compte de stockage détenu par le client. En affectant à allowCrossTenantReplication la valeur false, la réplication d’objets peut être configurée uniquement si les comptes source et de destination se trouvent dans le même locataire Azure AD. Audit, Refuser, Désactivé 1.0.0
Les comptes de stockage doivent empêcher l’accès à la clé partagée Exigence d’audit d’Azure AD (Azure Active Directory) pour autoriser les requêtes pour votre compte de stockage. Par défaut, les requêtes peuvent être autorisées soit avec des informations d’identification Azure Active Directory, soit à l’aide de la clé d’accès au compte pour l’autorisation avec clé partagée. Entre ces deux types d’autorisation, Azure AD offre une sécurité et une facilité d’utilisation supérieures par rapport à une clé partagée, et est recommandé par Microsoft. Audit, Refuser, Désactivé 2.0.0
Les comptes de stockage doivent limiter l’accès réseau L’accès réseau aux comptes de stockage doit être limité. Configurez les règles du réseau de telle manière que seules les applications des réseaux autorisés puissent accéder au compte de stockage. Pour autoriser les connexions de clients Internet ou locaux spécifiques, l’accès au trafic peut être autorisé à partir de réseaux virtuels Azure spécifiques ou vers des plages d’adresses IP Internet publiques. Audit, Refuser, Désactivé 1.1.1
Les comptes de stockage doivent utiliser des règles de réseau virtuel pour restreindre l’accès au réseau Protégez vos comptes de stockage contre les menaces potentielles en utilisant des règles de réseau virtuel comme méthode préférée au lieu du filtrage basé sur IP. La désactivation du filtrage basé sur IP empêche les IP publiques d’accéder à vos comptes de stockage. Audit, Refuser, Désactivé 1.0.1
Les comptes de stockage doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre compte de stockage blob et fichier avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Désactivé 1.0.3
Les comptes de stockage doivent utiliser une liaison privée Azure Private Link vous permet de connecter votre réseau virtuel aux services Azure sans adresse IP publique au niveau de la source ou de la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services sur le réseau principal Azure. En mappant des points de terminaison privés à votre compte de stockage, les risques de fuite de données sont réduits. En savoir plus sur les liaisons privées : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Désactivé 2.0.0
Le stockage table doivent utiliser une clé gérée par le client pour le chiffrement Sécurisez votre stockage de table avec une plus grande flexibilité en utilisant des clés gérées par le client. Quand vous spécifiez une clé gérée par le client, cette clé est utilisée pour protéger et contrôler l’accès à la clé qui chiffre vos données. L’utilisation de clés gérées par le client fournit des fonctionnalités supplémentaires permettant de contrôler la rotation de la clé de chiffrement de clé ou d’effacer des données par chiffrement. Audit, Refuser, Désactivé 1.0.0

Stream Analytics

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
Les travaux de Azure Stream Analytics doivent utiliser des clés gérées par le client pour chiffrer les données Utilisez des clés gérées par le client pour stocker de manière sécurisée les ressources de métadonnées et de données privées de vos travaux Stream Analytics dans votre compte de stockage. Cela vous permet de contrôler totalement la manière dont vos données Stream Analytics sont chiffrées. audit, Audit, refus, Refus, désactivé, Désactivé 1.1.0
Les journaux de ressources dans Azure Stream Analytics doivent être activés Auditez l’activation des journaux de ressources. Permet de recréer les pistes d’activité à utiliser à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. AuditIfNotExists, Désactivé 5.0.0
La tâche Stream Analytics doit se connecter aux entrées et sorties approuvées Assurez-vous que les travaux Stream Analytics n’ont pas de connexions d’entrée ou de sortie arbitraires qui ne sont pas définies dans la liste verte. Cela permet de vérifier que les travaux Stream Analytics n’exfiltrent pas les données en se connectant à des récepteurs arbitraires en dehors de votre organisation. Refuser, Désactivé, Audit 1.1.0
Le travail de Stream Analytics doit utiliser l'identité gérée pour authentifier les points d'extrémité Veillez à ce que les tâches de Stream Analytics ne se connectent qu'à des points d'extrémité utilisant l'authentification d'identité gérée. Refuser, Désactivé, Audit 1.0.0

Synapse

Nom
(Portail Azure)
Description Effet(s) Version
(GitHub)
L’audit sur l’espace de travail Synapse doit être activé L’audit de votre espace de travail Synapse doit être activé pour suivre les activités de base de données à travers toutes les bases de données des pools SQL dédiés et les enregistrer dans un journal d’audit. AuditIfNotExists, Désactivé 1.0.0
Les pools SQL dédiés Azure Synapse Analytics doivent autoriser le chiffrement Activez le chiffrement transparent des données pour les pools SQL dédiés Azure Synapse Analytics afin de protéger les données au repos et de répondre aux exigences de conformité. Notez que l’activation du chiffrement transparent des données pour le pool peut avoir un impact sur les performances des requêtes. Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, Désactivé 1.0.0
Le serve