Beépített Azure Policy-definíciók Felhőhöz készült Microsoft Defender
Ez a lap az Azure Policy Felhőhöz készült Microsoft Defender kapcsolatos beépített szabályzatdefinícióinak indexe. A szabályzatdefiníciók alábbi csoportosításai érhetők el:
- A kezdeményezéscsoport az Azure Policy kezdeményezésdefinícióit a "Felhőhöz készült Defender" kategóriában sorolja fel.
- Az alapértelmezett kezdeményezési csoport felsorolja azokat az Azure Policy-definíciókat, amelyek Felhőhöz készült Defender alapértelmezett kezdeményezésének, a Microsoft felhőbiztonsági benchmarkjának részét képezik. Ez a Microsoft által készített, széles körben elismert teljesítményteszt a Center for Internet Security (CIS) és a National Institute of Standards and Technology (NIST) vezérlőire épül, a felhőközpontú biztonságra összpontosítva.
- A kategóriacsoport a "Felhőhöz készült Defender" kategóriában található összes Azure Policy-definíciót felsorolja.
A biztonsági szabályzatokkal kapcsolatos további információkért lásd : Biztonsági szabályzatok használata. Az egyéb szolgáltatásokhoz készült egyéb Azure Policy-beépített bővítményekért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Felhőhöz készült Microsoft Defender kezdeményezések
Az Felhőhöz készült Defender által figyelt beépített kezdeményezésekről az alábbi táblázatból tájékozódhat:
| Név | Leírás | Házirendek | Verzió |
|---|---|---|---|
| [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése | Helyezzen üzembe Végponthoz készült Microsoft Defender ügynököt a megfelelő képeken. | 4 | 1.0.0-előzetes verzió |
| Az Advanced Threat Protection konfigurálása nyílt forráskódú relációs adatbázisokon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont a nem alapszintű nyílt forráskódú relációs adatbázisokon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. Lásd: https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Az Azure Defender konfigurálása az SQL-kiszolgálókon és a felügyelt SQL-példányokon való engedélyezéshez | Engedélyezze az Azure Defendert az SQL Serveren és a felügyelt SQL-példányokon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | 3 | 3.0.0 |
| Felhőhöz készült Microsoft Defender csomagok konfigurálása | Felhőhöz készült Microsoft Defender átfogó, natív felhőbeli védelmet biztosít a fejlesztéstől a futtatókörnyezetig többfelhős környezetekben. A szabályzat kezdeményezésével konfigurálhatja Felhőhöz készült Defender terveket és bővítményeket, hogy engedélyezve legyenek a kijelölt hatókör(ek)en. | 11 | 1.0.0 |
| A Microsoft Defender for Databases engedélyezése | Konfigurálja a Microsoft Defender for Database-et az Azure SQL-adatbázisok, a felügyelt példányok, a nyílt forráskódú relációs adatbázisok és a Cosmos DB védelmére. | 4 | 1.0.0 |
| Több Végponthoz készült Microsoft Defender integrációs beállítás konfigurálása Felhőhöz készült Microsoft Defender | Konfigurálja a több Végponthoz készült Microsoft Defender integrációs beállítást Felhőhöz készült Microsoft Defender (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION stb.). További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | 3 | 1.0.0 |
| SQL virtuális gépek és Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és az AMA-hoz készült Microsoft Defender la-munkaterülettel való telepítéséhez | A Microsoft Defender for SQL összegyűjti az ügynököktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Létrehoz egy erőforráscsoportot és egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | 9 | 1.2.1 |
| SQL virtuális gépek és Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és az AMA-hoz készült Microsoft Defender felhasználó által definiált LA-munkaterülettel való telepítéséhez | A Microsoft Defender for SQL összegyűjti az ügynököktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Létrehoz egy erőforráscsoportot és egy adatgyűjtési szabályt ugyanabban a régióban, mint a felhasználó által definiált Log Analytics-munkaterület. | 8 | 1.1.1 |
| Microsoft Cloud Security Benchmark | A Microsoft felhőbiztonsági benchmark kezdeményezése a Microsoft felhőbiztonsági referenciamutatójában meghatározott biztonsági javaslatokat megvalósító szabályzatokat és vezérlőket jelöli, lásd https://aka.ms/azsecbm: . Ez Felhőhöz készült Microsoft Defender alapértelmezett házirend-kezdeményezésként is szolgál. Ezt a kezdeményezést közvetlenül hozzárendelheti, vagy kezelheti a szabályzatait és megfelelőségi eredményeit a Felhőhöz készült Microsoft Defender. | 241 | 57.37.0 |
Felhőhöz készült Defender alapértelmezett kezdeményezése (Microsoft felhőbiztonsági benchmark)
A Felhőhöz készült Defender által figyelt beépített szabályzatokról az alábbi táblázatból tájékozódhat:
| Házirend neve (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak következetesen érvényes alkalmazásvezérlési szabályzatokkal kell rendelkezniük | Legalább alkalmazza a Microsoft WDAC alapszabályzatát kényszerített módban az összes Azure Stack HCI-kiszolgálón. Az alkalmazott Windows Defender alkalmazásvezérlő (WDAC) házirendnek konzisztensnek kell lennie az ugyanazon fürt kiszolgálói között. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak meg kell felelniük a biztonságos magra vonatkozó követelményeknek | Győződjön meg arról, hogy minden Azure Stack HCI-kiszolgáló megfelel a biztonságos magra vonatkozó követelményeknek. A biztonságos magú kiszolgálóra vonatkozó követelmények engedélyezéséhez: 1. Az Azure Stack HCI-fürtök lapon nyissa meg a Windows Rendszergazda Centert, és válassza a Csatlakozás. 2. Lépjen a Biztonsági bővítményre, és válassza a Biztonságos mag lehetőséget. 3. Jelölje ki a nem engedélyezett beállításokat, és kattintson az Engedélyezés gombra. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-rendszereknek titkosított kötetekkel kell rendelkezniük | A BitLocker használatával titkosíthatja az operációs rendszert és az adatköteteket az Azure Stack HCI-rendszereken. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A gazdagép- és virtuálisgép-hálózatkezelést védeni kell az Azure Stack HCI-rendszereken | Az Azure Stack HCI-gazdahálózaton és a virtuálisgép-hálózati kapcsolatokon tárolt adatok védelme. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk | Minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| A MySQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda kiépítésének naplózása a MySQL-kiszolgálóhoz a Microsoft Entra-hitelesítés engedélyezéséhez. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | AuditIfNotExists, Disabled | 1.1.1 |
| A PostgreSQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda kiépítésének naplózása a PostgreSQL-kiszolgálóhoz a Microsoft Entra-hitelesítés engedélyezéséhez. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | AuditIfNotExists, Disabled | 1.0.1 |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni | Az Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Disabled | 3.0.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure API Management API-végpontjait hitelesíteni kell | Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. További információ az OWASP API-fenyegetésről a hibás felhasználói hitelesítéshez: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból | Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet a szervezet számára. Ezek lehetnek olyan API-k, amelyeknek elavultnak kellett volna lenniük az Azure API Management szolgáltatásból, de előfordulhat, hogy véletlenül aktívak maradtak. Az ilyen API-k általában nem a legfrissebb biztonsági lefedettséget kapják. | AuditIfNotExists, Disabled | 1.0.1 |
| Az API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokkal, például HTTPS-sel vagy WSS-sel kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t. | Naplózás, Letiltás, Megtagadás | 2.0.2 |
| Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat | Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre. | Naplózás, Letiltás, Megtagadás | 1.0.1 |
| Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést | Az API biztonságának javítása érdekében az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management közvetlen felügyeleti végpontja nem engedélyezhető | Az Azure API Management közvetlen felügyeleti REST API-ja átadja az Azure Resource Manager szerepköralapú hozzáférés-vezérlési, engedélyezési és szabályozási mechanizmusait, így növelve a szolgáltatás sebezhetőségét. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek név- és értékpárok gyűjteményei az EGYES API Management-szolgáltatásokban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | AuditIfNotExists, Disabled | 1.0.1 |
| Az API Management-előfizetések nem tartozhatnak az összes API-ra | Az API Management-előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure API Management platformverziójának stv2-nek kell lennie | Az Azure API Management stv1 számítási platformjának verziója 2024. augusztus 31-én megszűnik, és a folyamatos támogatás érdekében ezeket a példányokat át kell telepíteni az stv2 számítási platformra. További információ: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a CosmosDB-fiók ne legyen közzétéve a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a CosmosDB-fiók expozícióját. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Databricks-fürtöknek le kell tiltania a nyilvános IP-címet | A fürtök nyilvános IP-címének letiltása az Azure Databricks-munkaterületeken javítja a biztonságot azáltal, hogy biztosítja, hogy a fürtök ne legyenek közzétéve a nyilvános interneten. További információ: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek virtuális hálózaton kell lenniük | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Databricks-munkaterületek, valamint alhálózatok, hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. További információ: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Azure Databricks-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Az erőforrások expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/adbpe. | Naplózás, letiltva | 1.0.2 |
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
| Az Azure Machine Tanulás számítási példányokat újra létre kell hozni a legújabb szoftverfrissítések lekéréséhez | Győződjön meg arról, hogy az Azure Machine Tanulás számítási példányok a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Az Azure Machine Tanulás Computesnek virtuális hálózaton kell lennie | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Tanulás számítási fürtök és példányok, valamint az alhálózatok, a hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. | Naplózás, letiltva | 1.0.1 |
| Az Azure Machine Tanulás Computes esetében le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a machine Tanulás Computes kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/azure-ml-aad-policy. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine többi részén Tanulás munkaterület adatainak kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.0.3 |
| Az Azure Machine Tanulás-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a Tanulás-munkaterületek ne legyenek közzétéve a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| A rugalmas Azure MySQL-kiszolgálónak engedélyeznie kell a Microsoft Entra-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak a Microsoft Entra-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a rugalmas Azure MySQL-kiszolgálóhoz kizárólag a Microsoft Entra-identitások férhessenek hozzá. | AuditIfNotExists, Disabled | 1.0.1 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, Letiltás, Megtagadás | 1.2.0 |
| Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a Csak Microsoft Entra hitelesítést | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a kiszolgálók létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a microsoft entra-only hitelesítést a létrehozás során | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítéssel történő létrehozását követelheti meg. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.2.0 |
| A felügyelt Azure SQL-példánynak engedélyeznie kell a Microsoft Entra-hitelesítést | Megkövetelheti, hogy a felügyelt Azure SQL-példány csak Microsoft Entra-hitelesítést használjon. Ez a szabályzat nem akadályozza meg, hogy a felügyelt Azure SQL-példányok helyi hitelesítéssel legyenek létrehozva. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést | Ha letiltja a nyilvános hálózati hozzáférést (nyilvános végpontot) a felügyelt Azure SQL-példányokon, azzal javítja a biztonságot, hogy azok csak a virtuális hálózatokon belülről vagy privát végpontokon keresztül érhetők el. A nyilvános hálózati hozzáféréssel kapcsolatos további információkért látogasson el https://aka.ms/mi-public-endpointide. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak engedélyezniük kell a microsoft entra-only hitelesítést a létrehozás során | A felügyelt Azure SQL-példány csak Microsoft Entra-hitelesítéssel történő létrehozását követelheti meg. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.2.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal történő adattitkosítást | Az ügyfél által felügyelt kulcsok gyakran szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ az ügyfél által felügyelt kulcsokról itt https://go.microsoft.com/fwlink/?linkid=2121321: . | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A Cosmos DB-adatbázisfiókoknak le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy a Cosmos DB-adatbázisfiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| Linux rendszerű gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Linux-kiszolgálón. | AuditIfNotExists, Disabled | 1.1.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket | Annak érdekében, hogy a hiányzó rendszerfrissítések rendszeres értékelése 24 óránként automatikusan aktiválódjon, az AssessmentMode tulajdonságot az "AutomaticByPlatform" értékre kell állítani. További információ a AssessmentMode tulajdonságról a Windowshoz: https://aka.ms/computevm-windowspatchassessmentmode, Linuxhoz: https://aka.ms/computevm-linuxpatchassessmentmode. | Naplózás, megtagadás, letiltva | 3.7.0 |
| A gépek titkos megállapításait meg kell oldani | Naplóozza a virtuális gépeket annak észlelésére, hogy tartalmaznak-e titkos megállapításokat a virtuális gépek titkos vizsgálati megoldásaiból. | AuditIfNotExists, Disabled | 1.0.2 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for API-kat | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | AuditIfNotExists, Disabled | 1.0.0 |
| Az ARC-kompatibilis SQL-kiszolgálók esetében védeni kell a Microsoft Defendert az SQL-hez | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Databricks-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | Az Azure Kubernetes Service erőforrásnaplói segíthetnek újra létrehozni a tevékenységnaplókat a biztonsági incidensek vizsgálata során. Annak engedélyezése, hogy szükség esetén a naplók létezni tudjanak | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Machine Tanulás-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védelmének biztosítása érdekében győződjön meg arról, hogy az SQL-célzott Azure Monitoring Agent automatikus üzembe helyezésre van konfigurálva. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését | Az Azure Active Directory (Azure AD) naplózási követelménye a tárfiókra vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és könnyű használatot biztosít a megosztott kulcshoz képest, ezért a Microsoft ennek a használatát javasolja. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| A Synapse-munkaterületeken engedélyezni kell a Microsoft Entra-hitelesítést | A Synapse-munkaterületeknek csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Synapse-munkaterületek csak Microsoft Entra-identitásokat használhatnak hitelesítéshez a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel hozhatók létre. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.2.0 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| A VPN-átjáróknak csak Az Azure Active Directory (Azure AD) hitelesítését kell használniuk a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory-identitásokat használnak a hitelesítéshez. További információ az Azure AD-hitelesítésről: https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows-gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Windows Serverre. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
Felhőhöz készült Microsoft Defender kategória
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux Arc-gépekre | Telepítse az Azure Security-ügynököt a Linux Arc-gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuálisgép-méretezési csoportokra, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuális gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows Arc-gépekre | Telepítse az Azure Security-ügynököt a Windows Arc-gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuálisgép-méretezési csoportokra, hogy monitorozza a gépeket a biztonsági konfigurációk és biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuális gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux Arc-gépen | Telepítse a ChangeTracking bővítményt Linux Arc-gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Linux rendszerű virtuális gépekre a fájlintegritási monitorozás (FIM) engedélyezéséhez az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Linux rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows Arc-gépen | Telepítse a ChangeTracking bővítményt Windows Arc-gépekre a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Windows rendszerű virtuális gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Windows rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Defender konfigurálása SQL-ügynökhöz virtuális gépen | Konfigurálja a Windows-gépeket az Azure Defender for SQL-ügynök automatikus telepítéséhez, ahol az Azure Monitor-ügynök telepítve van. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Erőforráscsoportot és Log Analytics-munkaterületet hoz létre a géppel azonos régióban. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux Arc-gépekhez | Linux Arc-gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Linux rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux rendszerű virtuális gépekhez | Linux rendszerű virtuális gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows Arc-gépekhez | Konfigurálja a Windows Arc-gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Windows rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuális gépekhez | Konfigurálja a Windows rendszerű virtuális gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux Arc-gépeket az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Linux Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 6.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Linux rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezhessék a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításai ellen. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 5.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 7.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 7.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott virtuális gépek konfigurálása a vTPM automatikus engedélyezéséhez | A támogatott virtuális gépek úgy konfigurálhatók, hogy automatikusan engedélyezhessék a vTPM-et a mért rendszerindítás és más, TPM-t igénylő operációsrendszer-biztonsági funkciók megkönnyítése érdekében. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Windows Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A Cél Windows rendszerű virtuálisgép-méretezési csoportoknak támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 4.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Windows rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezze a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításaival szemben. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott virtuális gépek konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a Megosztott képtár rendszerképekkel létrehozott virtuális gépeket a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott VMSS konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a megosztott képgyűjtemény rendszerképeivel létrehozott VMSS-t a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktív módon tanúsítsa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése linuxos hibrid gépeken | Az Végponthoz készült Microsoft Defender-ügynök telepítése linuxos hibrid gépeken | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Linux rendszerű virtuális gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender ügynököt a megfelelő Linux rendszerű virtuálisgép-lemezképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Windows Azure Arc-gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender Windows Azure Arc-gépeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Windows rendszerű virtuális gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender a windowsos virtuálisgép-rendszerképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk | Minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk | A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a Biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A Biztonságos rendszerindítás biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A gépeknek olyan portokat kell bezárni, amelyek támadási vektorokat tehetnek elérhetővé | Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely bármilyen Microsoft-kiszolgálót vagy hálózatot károsíthat, letilthat, túlterhelhet vagy károsíthat. A javaslat által azonosított közzétett portokat be kell zárni a folyamatos biztonság érdekében. Az egyes azonosított portok esetében az ajánlás a lehetséges fenyegetés magyarázatát is tartalmazza. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie | A vendégigazolás egy megbízható napló (TCGLog) egy igazolási kiszolgálónak való elküldésével történik. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindító összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc olyan sérüléseinek észlelésére szolgál, amelyek bootkit- vagy rootkit-fertőzés következménye lehetnek. Ez az értékelés csak azokra a megbízható indítású virtuális gépekre vonatkozik, amelyeken telepítve van a vendégigazolási bővítmény. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni | Az Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Disabled | 3.0.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure API Management API-végpontjait hitelesíteni kell | Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. További információ az OWASP API-fenyegetésről a hibás felhasználói hitelesítéshez: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból | Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet a szervezet számára. Ezek lehetnek olyan API-k, amelyeknek elavultnak kellett volna lenniük az Azure API Management szolgáltatásból, de előfordulhat, hogy véletlenül aktívak maradtak. Az ilyen API-k általában nem a legfrissebb biztonsági lefedettséget kapják. | AuditIfNotExists, Disabled | 1.0.1 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányait biztonságosan kell konfigurálni | A Cloud Service (kiterjesztett támogatás) szerepkörpéldányainak védelme a támadások ellen, mivel biztosíthatja, hogy az operációs rendszer biztonsági rései ne legyenek feltárva. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak rendelkezniük kell egy végpontvédelmi megoldással | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a fenyegetések és a biztonsági rések ellen, biztosítva, hogy egy végpontvédelmi megoldás legyen telepítve rájuk. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak telepítve kell lenniük a rendszerfrissítéseknek | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a legújabb biztonsági és kritikus frissítések telepítésének biztosításával. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Advanced Threat Protection konfigurálása a rugalmas Azure Database for MySQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont az Azure-adatbázis rugalmas MySQL-kiszolgálókon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Advanced Threat Protection konfigurálása a rugalmas Azure Database for PostgreSQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont rugalmas Azure Database for PostgreSQL-kiszolgálókon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.1.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows Arc-kompatibilis SQL-kiszolgálókon. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows Arc-kompatibilis SQL Servereket a Microsoft Defender for SQL-ügynök automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.2.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez Log Analytics-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot, egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.3.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez egy felhasználó által definiált LA-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy adatgyűjtési szabályt a felhasználó által definiált Log Analytics-munkaterületen. | DeployIfNotExists, Disabled | 1.4.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással az SQL DCR-hez készült Microsoft Defenderhez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.1.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással a Microsoft Defenderhez az SQL felhasználó által definiált DCR-hez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL felhasználó által definiált DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.2.0 |
| Az Azure Defender for App Service engedélyezésének konfigurálása | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender Azure SQL-adatbázis engedélyezésének konfigurálása | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása a nyílt forráskódú relációs adatbázisok engedélyezéséhez | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Resource Manager engedélyezése | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.1.0 |
| Az engedélyezni kívánt szerverekhez készült Azure Defender konfigurálása | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása SQL kiszolgálókhoz az engedélyezni kívánt gépeken | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | DeployIfNotExists, Disabled | 1.0.1 |
| Alapszintű Microsoft Defender for Storage engedélyezése (csak tevékenységfigyelés) | A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Ez a szabályzat engedélyezi az alapvető Defender for Storage-képességeket (tevékenységfigyelés). A teljes védelem engedélyezéséhez, amely magában foglalja a kártevő-vizsgálat és a bizalmas adatfenyegetések észlelését is, használja a teljes engedélyezési szabályzatot: aka.ms/DefenderForStoragePolicy. Ha többet szeretne megtudni a Defender for Storage képességeiről és előnyeiről, látogasson el a aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Gépek konfigurálása sebezhetőségi felmérési szolgáltató fogadására | Az Azure Defender további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben. Ha engedélyezi ezt a szabályzatot, az Azure Defender automatikusan telepíti a Qualys biztonságirés-felmérési szolgáltatót az összes olyan támogatott gépen, amely még nincs telepítve. | DeployIfNotExists, Disabled | 4.0.0 |
| Microsoft Defender CSPM-csomag konfigurálása | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender CSPM engedélyezésének beállítása | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | DeployIfNotExists, Disabled | 1.0.2 |
| Az Azure Cosmos DB-hez készült Microsoft Defender konfigurálása az engedélyezéshez | Az Azure Cosmos DB-hez készült Microsoft Defender egy Azure-natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender a Microsoft Threat Intelligence alapján észleli a lehetséges SQL-injektálást, az ismert rossz szereplőket, a gyanús hozzáférési mintákat és az adatbázis potenciális kihasználását feltört identitások vagy rosszindulatú bennfentesek segítségével. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Containers csomag konfigurálása | A Defender for Containers csomag folyamatosan új képességeket ad hozzá, ami a felhasználó explicit engedélyezését igényelheti. Ezzel a szabályzattal győződjön meg arról, hogy minden új képesség engedélyezve lesz. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Containers engedélyezésének konfigurálása | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | DeployIfNotExists, Disabled | 1.0.1 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP_EXCLUDE_LINUX...) | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat a Felhőhöz készült Microsoft Defender (más néven WDATP_EXCLUDE_LINUX_...) belül az MDE linuxos kiszolgálókhoz való automatikus kiépítésének engedélyezéséhez. A WDATP-beállítást be kell kapcsolni a beállítás alkalmazásához. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP_UNIFIED_SOLUTION) | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat Felhőhöz készült Microsoft Defender (más néven WDATP_UNIFIED_SOLUTION) az MDE Unified Agent automatikus kiépítésének engedélyezéséhez Windows Server 2012R2 és 2016 rendszerhez. A WDATP-beállítást be kell kapcsolni a beállítás alkalmazásához. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP) használatával | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat a Felhőhöz készült Microsoft Defender (más néven WDATP)-ben az MMA-n keresztül az MDE-be előkészített windowsos alsó szintű gépekhez, valamint az MDE automatikus kiépítéséhez Windows Server 2019, Windows Virtual Desktop és újabb rendszereken. A többi beállítás (WDATP_UNIFIED stb.) működéséhez be kell kapcsolni. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Key Vault csomag konfigurálása | A Key Vaulthoz készült Microsoft Defender további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | DeployIfNotExists, Disabled | 1.1.0 |
| A Microsoft Defender for Servers csomag konfigurálása | Az új képességek folyamatosan bővülnek a Defender for Servers szolgáltatásban, ami a felhasználó explicit engedélyezését igényelheti. Ezzel a szabályzattal győződjön meg arról, hogy minden új képesség engedélyezve lesz. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for SQL konfigurálása a Synapse-munkaterületeken való engedélyezéshez | Engedélyezze a Microsoft Defender for SQL-t az Azure Synapse-munkaterületeken, hogy észlelje az SQL-adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Storage (klasszikus) engedélyezése | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | DeployIfNotExists, Disabled | 1.0.2 |
| A Microsoft Defender for Storage engedélyezése | A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Ez a szabályzat minden Defender for Storage-képességet engedélyez; Tevékenységfigyelés, kártevő-vizsgálat és bizalmas adatfenyegetések észlelése. Ha többet szeretne megtudni a Defender for Storage képességeiről és előnyeiről, látogasson el a aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.2.0 |
| SQL Virtual Machines konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows SQL Virtuális gépeken. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Sql Virtual Machines konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows SQL-alapú virtuális gépeket a Microsoft Defender sql-bővítmény automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.3.0 |
| Sql Virtual Machines konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez Log Analytics-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot, egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.4.0 |
| Sql Virtual Machines konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez egy felhasználó által definiált LA-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy adatgyűjtési szabályt a felhasználó által definiált Log Analytics-munkaterületen. | DeployIfNotExists, Disabled | 1.4.0 |
| A Microsoft Defender konfigurálása az SQL Log Analytics-munkaterülethez | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és Egy Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.2.0 |
| Beépített, felhasználó által hozzárendelt felügyelt identitás létrehozása és hozzárendelése | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást nagy léptékben az SQL virtuális gépekhez. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Üzembe helyezés – Letiltási szabályok konfigurálása az Azure Security Center-riasztásokhoz | Az Azure Security Center-riasztások mellőzése a riasztások kifáradásának csökkentése érdekében a felügyeleti csoportra vagy előfizetésre vonatkozó elnyomási szabályok üzembe helyezésével csökkenthető. | deployIfNotExists | 1.0.0 |
| Exportálás üzembe helyezése az Event Hubba megbízható szolgáltatásként Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze az Event Hubba való exportálást Felhőhöz készült Microsoft Defender adatok megbízható szolgáltatásaként. Ez a szabályzat egy exportálást helyez üzembe az Event Hubba megbízható szolgáltatáskonfigurációként a feltételekkel és a hozzárendelt hatókörben lévő Event Hub célként. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | DeployIfNotExists, Disabled | 1.0.0 |
| Exportálás üzembe helyezése az Event Hubba Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze az Felhőhöz készült Microsoft Defender adatok Event Hubba való exportálását. Ez a szabályzat egy exportálást helyez üzembe az Event Hub-konfigurációba a feltételekkel és a hozzárendelt hatókörben lévő Event Hub célokkal. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 4.2.0 |
| Exportálás üzembe helyezése a Log Analytics-munkaterületre Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze Felhőhöz készült Microsoft Defender adatok Log Analytics-munkaterületre való exportálását. Ez a szabályzat egy exportálást helyez üzembe a Log Analytics-munkaterület konfigurációjában a feltételekkel és a cél-munkaterülettel a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 4.1.0 |
| Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-riasztásokhoz | Felhőhöz készült Microsoft Defender riasztások automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-javaslatokhoz | Felhőhöz készült Microsoft Defender javaslatok automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Munkafolyamat-automatizálás üzembe helyezése Felhőhöz készült Microsoft Defender jogszabályi megfelelőséghez | Felhőhöz készült Microsoft Defender jogszabályi megfelelőség automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Felhőhöz készült Microsoft Defender engedélyezése az előfizetésben | Azonosítja a Felhőhöz készült Microsoft Defender által nem figyelt meglévő előfizetéseket, és védi őket Felhőhöz készült Defender ingyenes funkcióival. A már figyelt előfizetések megfelelőnek minősülnek. Az újonnan létrehozott előfizetések regisztrálásához nyissa meg a megfelelőségi lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 1.0.1 |
| Engedélyezze a Security Center automatikusan a Log Analytics-ügynök automatikus kiépítését az előfizetéseken egyéni munkaterülettel. | Lehetővé teszi a Security Center számára, hogy automatikusan kiépíteni a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez egy egyéni munkaterület használatával. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezze a Security Center automatikusan a Log Analytics-ügynök automatikus kiépítését az előfizetéseken az alapértelmezett munkaterülettel. | Engedélyezze a Security Centernek, hogy automatikusan kiépítenie a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez az ASC alapértelmezett munkaterületén. | DeployIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokra | A Security Center adatokat gyűjt a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokból a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A gépek titkos megállapításait meg kell oldani | Naplóozza a virtuális gépeket annak észlelésére, hogy tartalmaznak-e titkos megállapításokat a virtuális gépek titkos vizsgálati megoldásaiból. | AuditIfNotExists, Disabled | 1.0.2 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for API-kat | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Azure Cosmos DB-t | Az Azure Cosmos DB-hez készült Microsoft Defender egy Azure-natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender a Microsoft Threat Intelligence alapján észleli a lehetséges SQL-injektálást, az ismert rossz szereplőket, a gyanús hozzáférési mintákat és az adatbázis potenciális kihasználását feltört identitások vagy rosszindulatú bennfentesek segítségével. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | AuditIfNotExists, Disabled | 1.0.0 |
| Az ARC-kompatibilis SQL-kiszolgálók esetében védeni kell a Microsoft Defendert az SQL-hez | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| Előfizetések beállítása egy alternatív sebezhetőségi felmérési megoldásra való áttéréshez | A Microsoft Defender a felhőhöz további költségek nélkül kínál sebezhetőségi vizsgálatot a gépeken. A szabályzat engedélyezésével Felhőhöz készült Defender automatikusan propagálja az eredményeket a beépített Microsoft Defender biztonságirés-kezelés megoldásból az összes támogatott gépre. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védelmének biztosítása érdekében győződjön meg arról, hogy az SQL-célzott Azure Monitoring Agent automatikus üzembe helyezésre van konfigurálva. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
Következő lépések
Ebben a cikkben megismerkedett az Azure Policy biztonsági szabályzat-definícióival Felhőhöz készült Defender. Ha többet szeretne megtudni a kezdeményezésekről, a szabályzatokról és azok Felhőhöz készült Defender ajánlásaihoz való viszonyukról, olvassa el a mi a biztonsági szabályzatok, kezdeményezések és javaslatok?