Azure Policy beépített szabályzatdefiníciók
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe.
Az Azure Portal szabályzatdefiníciójára mutató beépített hivatkozások neve. A Forrás oszlop hivatkozásával megtekintheti a forrást az Azure Policy GitHub-adattárban. A beépítettek a metaadatok kategóriatulajdonságai szerint vannak csoportosítva. Ha egy adott kategóriára szeretne lépni, használja a Ctrl F billentyűkombinációt-a böngésző keresési funkciójához.
API for FHIR
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure API for FHIR-nek ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az ügyfél által kezelt kulccsal szabályozhatja a titkosítást az Azure API for FHIR-ben tárolt többi adatnál, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| A CORS nem engedélyezheti minden tartomány számára az API elérését az FHIR-hez | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR API elérését. Az FHIR API védelméhez távolítsa el az összes tartomány hozzáférését, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
API Management
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az API Management API-knak csak titkosított protokollokat kell használniuk | Az átvitt adatok biztonságának biztosítása érdekében az API-knak csak titkosított protokollokkal, például HTTPS-sel vagy WSS-sel kell elérhetőnek lenniük. Ne használjon nem biztonságos protokollokat, például HTTP-t vagy WS-t. | Naplózás, Letiltás, Megtagadás | 2.0.2 |
| Hitelesíteni kell az API-háttérrendszerekre irányuló API Management-hívásokat | Az API Managementből a háttérrendszerekbe irányuló hívásoknak valamilyen hitelesítést kell használniuk, akár tanúsítványokon vagy hitelesítő adatokon keresztül. Nem vonatkozik a Service Fabric-háttérrendszerekre. | Naplózás, Letiltás, Megtagadás | 1.0.1 |
| Az API-háttérrendszerekhez intézett API Management-hívások nem kerülhetik meg a tanúsítvány ujjlenyomatát vagy a névérvényesítést | Az API biztonságának javítása érdekében az API Managementnek ellenőriznie kell a háttérkiszolgáló tanúsítványát az összes API-híváshoz. Engedélyezze az SSL-tanúsítvány ujjlenyomatát és a névérvényesítést. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management közvetlen felügyeleti végpontja nem engedélyezhető | Az Azure API Management közvetlen felügyeleti REST API-ja átadja az Azure Resource Manager szerepköralapú hozzáférés-vezérlési, engedélyezési és szabályozási mechanizmusait, így növelve a szolgáltatás sebezhetőségét. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management minimális API-verzióját 2019-12-01-es vagy újabb verzióra kell állítani | A szolgáltatás titkos kulcsainak írásvédett felhasználókkal való megosztásának megakadályozása érdekében a minimális API-verziót 2019-12-01-es vagy újabb verzióra kell állítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az API Management titkos kód elnevezett értékeit az Azure Key Vaultban kell tárolni | Az elnevezett értékek név- és értékpárok gyűjteményei az EGYES API Management-szolgáltatásokban. A titkos értékek titkosított szövegként tárolhatók az API Managementben (egyéni titkos kódok), vagy az Azure Key Vault titkos kulcsokra való hivatkozásával. Az API Management és a titkos kódok biztonságának javítása érdekében hivatkozzon az Azure Key Vault titkos kódnevű értékeire. Az Azure Key Vault támogatja a részletes hozzáférés-kezelési és titkos kulcsforgatási szabályzatokat. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| Az API Management szolgáltatásnak virtuális hálózatokat támogató termékváltozatot kell használnia | Az API Management támogatott termékváltozataival a szolgáltatás virtuális hálózatba való üzembe helyezése lehetővé teszi az API Management speciális hálózatkezelési és biztonsági funkcióinak használatát, így nagyobb mértékben szabályozhatja a hálózati biztonsági konfigurációt. További információ: https://aka.ms/apimvnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az API Managementnek le kell tiltania a szolgáltatáskonfigurációs végpontokhoz való nyilvános hálózati hozzáférést | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | AuditIfNotExists, Disabled | 1.0.1 |
| Az API Managementnek le kell tiltani a felhasználónevet és a jelszó-hitelesítést | A fejlesztői portál biztonságossá tételéhez le kell tiltani a felhasználónevet és a jelszó-hitelesítést az API Managementben. Konfigurálja a felhasználói hitelesítést az Azure AD vagy az Azure AD B2C identitásszolgáltatókon keresztül, és tiltsa le az alapértelmezett felhasználónevet és jelszót. | Naplózás, letiltva | 1.0.1 |
| Az API Management-előfizetések nem tartozhatnak az összes API-ra | Az API Management-előfizetéseket az összes API helyett egy termékre vagy egy egyéni API-ra kell korlátozni, ami túlzott adatexpozíciót eredményezhet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| Az Azure API Management platformverziójának stv2-nek kell lennie | Az Azure API Management stv1 számítási platformjának verziója 2024. augusztus 31-én megszűnik, és a folyamatos támogatás érdekében ezeket a példányokat át kell telepíteni az stv2 számítási platformra. További információ: /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Naplózás, megtagadás, letiltva | 1.0.0 |
| API Management-szolgáltatások konfigurálása az API Management nyilvános szolgáltatás konfigurációs végpontjaihoz való hozzáférés letiltásához | Az API Management-szolgáltatások biztonságának javítása érdekében korlátozza a szolgáltatáskonfigurációs végpontokhoz, például a közvetlen hozzáférés-kezelési API-hoz, a Git konfigurációkezelési végponthoz vagy a saját üzemeltetésű átjárók konfigurációs végpontjaihoz való kapcsolódást. | DeployIfNotExists, Disabled | 1.1.0 |
| Az API Management módosítása a felhasználónév- és jelszóhitelesítés letiltásához | A fejlesztői portál felhasználói fiókjainak és hitelesítő adatainak hatékonyabb védelme érdekében konfigurálja a felhasználói hitelesítést az Azure AD vagy az Azure AD B2C identitásszolgáltatókon keresztül, és tiltsa le az alapértelmezett felhasználónevet és jelszót. | Módosítás | 1.1.0 |
Alkalmazás konfigurációja
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alkalmazáskonfigurációnak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://aka.ms/appconfig/private-endpoint. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az alkalmazáskonfigurációnak ügyfél által felügyelt kulcsot kell használnia | Az ügyfél által kezelt kulcsok fokozott adatvédelmet biztosítanak, lehetővé téve a titkosítási kulcsok kezelését. Ez gyakran szükséges a megfelelőségi követelmények teljesítéséhez. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az alkalmazáskonfigurációnak olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Támogatott termékváltozat használata esetén az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az alkalmazáskonfigurációs áruházakban le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Configuration-tárolók kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://go.microsoft.com/fwlink/?linkid=2161954. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Alkalmazáskonfigurációs tárolók konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az alkalmazáskonfigurációs tárolók kizárólag a hitelesítéshez igényelhessenek Microsoft Entra-identitásokat. További információ: https://go.microsoft.com/fwlink/?linkid=2161954. | Módosítás, letiltva | 1.0.1 |
| Alkalmazáskonfiguráció konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az alkalmazáskonfigurációhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez a konfiguráció segít megvédeni őket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások expozícióját. További információ: https://aka.ms/appconfig/private-endpoint. | Módosítás, letiltva | 1.0.0 |
| Privát DNS-zónák konfigurálása az alkalmazáskonfigurációhoz csatlakoztatott privát végpontokhoz | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna csatolható a virtuális hálózathoz az alkalmazáskonfigurációs példányok feloldásához. További információ: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát végpontok konfigurálása az alkalmazáskonfigurációhoz | A privát végpontok lehetővé teszik a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásban vagy a célhelyen. Ha privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, csökken az adatszivárgás kockázata. További információ: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Alkalmazásplatform
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Olyan Azure Spring Cloud-példányok naplózása, amelyekben az elosztott nyomkövetés nincs engedélyezve | Az Azure Spring Cloud elosztott nyomkövetési eszközei lehetővé teszik az alkalmazások mikroszolgáltatásai közötti összetett kapcsolatok hibakeresését és monitorozását. Az elosztott nyomkövetési eszközöket engedélyezni kell, és kifogástalan állapotban kell lenniük. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, Letiltás, Megtagadás | 1.2.0 |
App Service
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazáshelyeket virtuális hálózatba kell injektálni | Az App Service Apps virtuális hálózatba történő injektálásával az App Service fejlett hálózatkezelési és biztonsági funkcióit oldhatja fel, és nagyobb felügyeletet biztosít a hálózati biztonsági konfiguráció felett. További információ: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-alkalmazáshelyeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az App Service nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az App Service-nek való kitettséget. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az App Service-alkalmazáshelyeknek engedélyeznie kell a konfigurációs útválasztást az Azure Virtual Network felé | Alapértelmezés szerint az alkalmazáskonfiguráció, például a tárolólemezképek lekérése és a tartalomtároló csatlakoztatása nem lesz irányítva a regionális virtuális hálózati integráción keresztül. Az API használatával az útválasztási beállítások igaz értékre állítása lehetővé teszi a konfigurációs forgalmat az Azure-beli virtuális hálózaton keresztül. Ezek a beállítások lehetővé teszik az olyan funkciók használatát, mint a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak, valamint a szolgáltatásvégpontok privátak. További információ: https://aka.ms/appservice-vnet-configuration-routing. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-alkalmazáshelyeknek engedélyeznie kell az Azure Virtual Network felé irányuló kimenő, nem RFC 1918-ra irányuló forgalmat | Alapértelmezés szerint, ha egy regionális Azure Virtual Network-integrációt (VNET) használ, az alkalmazás csak az adott virtuális hálózatra irányítja RFC1918 forgalmat. Ha az API-val a "vnetRouteAllEnabled" értéket igaz értékre állítja, az lehetővé teszi az Azure-beli virtuális hálózatba irányuló összes kimenő forgalmat. Ez a beállítás lehetővé teszi a hálózati biztonsági csoportokhoz és a felhasználó által megadott útvonalakhoz hasonló funkciókat az App Service-alkalmazásból érkező összes kimenő forgalomhoz. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-alkalmazáshelyeken engedélyezni kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyeken le kell tiltani a helyi hitelesítési módszereket az FTP-üzemelő példányok esetében | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Service-tárolóhelyek kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Az App Service-alkalmazáshelyeken le kell tiltani a helyi hitelesítési módszereket az SCM-helyek üzembe helyezéséhez | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása azáltal javítja a biztonságot, hogy az App Service-pontok kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Az App Service-alkalmazáshelyeken ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 1.0.1 |
| Az App Service-alkalmazáshelyeken engedélyezve kell lennie az erőforrásnaplóknak | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyeken ne legyen konfigurálva a CORS, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyek csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Az App Service alkalmazáshelyeinek csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyeknek azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | Az alkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 1.0.0 |
| Az App Service-alkalmazáshelyeknek a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyeknek felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazáshelyeknek a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
| A Java-t használó App Service-alkalmazáshelyeknek egy megadott Java-verziót kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
| A PHP-t használó App Service-alkalmazáshelyeknek egy megadott "PHP-verziót" kell használniuk | A PHP-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb PHP-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő PHP-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
| A Pythont használó App Service-alkalmazáshelyeknek egy megadott Python-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az App Service-alkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásokat virtuális hálózatba kell injektálni | Az App Service Apps virtuális hálózatba történő injektálásával az App Service fejlett hálózatkezelési és biztonsági funkcióit oldhatja fel, és nagyobb felügyeletet biztosít a hálózati biztonsági konfiguráció felett. További információ: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Az App Service-alkalmazásoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az App Service nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az App Service-nek való kitettséget. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| Az App Service-alkalmazásoknak engedélyeznie kell a konfigurációs útválasztást az Azure Virtual Network felé | Alapértelmezés szerint az alkalmazáskonfiguráció, például a tárolólemezképek lekérése és a tartalomtároló csatlakoztatása nem lesz irányítva a regionális virtuális hálózati integráción keresztül. Az API használatával az útválasztási beállítások igaz értékre állítása lehetővé teszi a konfigurációs forgalmat az Azure-beli virtuális hálózaton keresztül. Ezek a beállítások lehetővé teszik az olyan funkciók használatát, mint a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak, valamint a szolgáltatásvégpontok privátak. További információ: https://aka.ms/appservice-vnet-configuration-routing. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-alkalmazásoknak engedélyeznie kell az Azure Virtual Network felé irányuló kimenő, nem RFC 1918-ra irányuló forgalmat | Alapértelmezés szerint, ha egy regionális Azure Virtual Network-integrációt (VNET) használ, az alkalmazás csak az adott virtuális hálózatra irányítja RFC1918 forgalmat. Ha az API-val a "vnetRouteAllEnabled" értéket igaz értékre állítja, az lehetővé teszi az Azure-beli virtuális hálózatba irányuló összes kimenő forgalmat. Ez a beállítás lehetővé teszi a hálózati biztonsági csoportokhoz és a felhasználó által megadott útvonalakhoz hasonló funkciókat az App Service-alkalmazásból érkező összes kimenő forgalomhoz. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-alkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a webalkalmazást, vagy hitelesítsék a jogkivonatokkal rendelkezőket, mielőtt elérnék a webalkalmazást. | AuditIfNotExists, Disabled | 2.0.1 |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak le kell tiltani a helyi hitelesítési módszereket az FTP-üzemelő példányokhoz | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Az App Service-alkalmazásoknak le kell tiltani a helyi hitelesítési módszereket az SCM-helyek üzembe helyezéséhez | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak olyan termékváltozatot kell használniuk, amely támogatja a privát kapcsolatot | A támogatott termékváltozatokkal az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok alkalmazásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/private-link. | Naplózás, megtagadás, letiltva | 4.1.0 |
| Az App Service-alkalmazásoknak Azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | Az alkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok App Service-be való leképezésével csökkentheti az adatszivárgás kockázatát. További információ a privát hivatkozásokról: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Java-t használó App Service-alkalmazásoknak egy megadott "Java-verziót" kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 3.1.0 |
| A PHP-t használó App Service-alkalmazásoknak egy megadott "PHP-verziót" kell használniuk | A PHP-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb PHP-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő PHP-verziót adjon meg. | AuditIfNotExists, Disabled | 3.2.0 |
| A Pythont használó App Service-alkalmazásoknak egy megadott Python-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az App Service-alkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 4.1.0 |
| Az App Service Environment-alkalmazások nem érhetőek el nyilvános interneten keresztül | Annak érdekében, hogy az App Service-környezetben üzembe helyezett alkalmazások ne legyenek elérhetők nyilvános interneten keresztül, telepíteni kell az App Service-környezetet egy IP-címmel a virtuális hálózaton. Az IP-cím virtuális hálózati IP-címre való beállításához az App Service-környezetet belső terheléselosztóval kell üzembe helyezni. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Az App Service-környezetet a legerősebb TLS-titkosítási csomagokkal kell konfigurálni | Az App Service Environment megfelelő működéséhez szükséges két legkisebb és legerősebb titkosítási csomag a következő: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 és TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Naplózás, letiltva | 1.0.0 |
| Az App Service-környezetet a legújabb verziókkal kell kiépíteni | Csak az App Service Environment 2. vagy 3. verziójának kiépítése engedélyezett. Az App Service Environment régebbi verziói az Azure-erőforrások manuális felügyeletét igénylik, és nagyobb skálázási korlátozásokkal rendelkeznek. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az App Service-környezetben le kell tiltani a TLS 1.0 és az 1.1-et | A TLS 1.0 és 1.1 elavult protokollok, amelyek nem támogatják a modern titkosítási algoritmusokat. A bejövő TLS 1.0- és 1.1-forgalom letiltása segít az appok biztonságossá tételében az App Service-környezetben. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az App Service alkalmazáshelyeinek konfigurálása a helyi hitelesítés letiltásához FTP-üzemelő példányokhoz | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Service-tárolóhelyek kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Az App Service alkalmazáshelyeinek konfigurálása az SCM-webhelyek helyi hitelesítésének letiltásához | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása azáltal javítja a biztonságot, hogy az App Service-pontok kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| App Service-alkalmazáshelyek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az App Services nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
| Az App Service-alkalmazáshelyek konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
| App Service-alkalmazáshelyek konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.1.0 |
| Az App Service alkalmazáshelyeinek konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.1.0 |
| Az App Service-alkalmazások konfigurálása a helyi hitelesítés letiltására FTP-telepítések esetén | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Az App Service-alkalmazások konfigurálása az SCM-webhelyek helyi hitelesítésének letiltására | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| App Service-alkalmazások konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az App Services nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
| App Service-alkalmazások konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
| Az App Service-alkalmazások konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zóna egy virtuális hálózatot csatol egy App Service-hez. További információ: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Az App Service-alkalmazások konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.0.1 |
| Függvényalkalmazás-pontok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést a függvényalkalmazásokhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
| Függvényalkalmazás-tárolóhelyek konfigurálása, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
| Függvényalkalmazás-tárolóhelyek konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy függvényalkalmazáson. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.1.0 |
| Függvényalkalmazás-tárolóhelyek konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.1.0 |
| Függvényalkalmazások konfigurálása a nyilvános hálózati hozzáférés letiltására | Tiltsa le a nyilvános hálózati hozzáférést a függvényalkalmazásokhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
| Függvényalkalmazások konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
| Függvényalkalmazások konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.0.0 |
| Függvényalkalmazások konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.0.1 |
| A függvényalkalmazások tárolóhelyének le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a függvényalkalmazás ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a függvényalkalmazások expozícióját. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| A függvényalkalmazás-tárolóhelyeken engedélyezni kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazás-tárolóhelyeken ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazások tárolóhelyeinek nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazás-tárolóhelyek csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| A függvényalkalmazás-tárolóhelyeknek csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazás-tárolóhelyeknek Azure-fájlmegosztást kell használniuk a tartalomkönyvtárhoz | A függvényalkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 1.0.0 |
| A függvényalkalmazás-tárolóhelyeknek a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazás-tárolóhelyeknek a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
| A Java-t használó függvényalkalmazás-tárolóhelyeknek egy megadott "Java-verziót" kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
| A Pythont használó függvényalkalmazás-tárolóhelyeknek egy megadott "Python-verziót" kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A Függvényalkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazások letiltják a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a függvényalkalmazás ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a függvényalkalmazások expozícióját. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| A függvényalkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a függvényalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a függvényalkalmazás elérése előtt. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazásoknak Azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | A függvényalkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 3.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Java-t használó függvényalkalmazások egy megadott "Java-verziót" használnak | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 3.1.0 |
| A Pythont használó függvényalkalmazások egy megadott Python-verziót használnak | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A Függvényalkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 4.1.0 |
Igazolás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Attestation-szolgáltatóknak le kell tiltania a nyilvános hálózati hozzáférést | Az Azure Attestation Service biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános interneten, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a aka.ms/azureattestation. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Attestation-szolgáltatóknak privát végpontokat kell használniuk | A privát végpontok lehetővé teszik az Azure-igazolási szolgáltatók azure-erőforrásokhoz való csatlakoztatását anélkül, hogy forgalmat küldenek a nyilvános interneten keresztül. A nyilvános hozzáférés megakadályozásával a privát végpontok védelmet nyújtanak a nem kívánt névtelen hozzáféréssel szemben. | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A gépeken engedélyezni kell a felügyelt identitást | Az Automanage által felügyelt erőforrásoknak felügyelt identitással kell rendelkezniük. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az automatikusan felügyelt konfigurációs profil hozzárendelésének megfelelőnek kell lennie | Az Automanage által kezelt erőforrásoknak konform vagy konformant javítási állapotúnak kell lennie. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A rendszerindítási diagnosztikát engedélyezni kell a virtuális gépeken | Az Azure-beli virtuális gépeken engedélyezve kell lennie a rendszerindítási diagnosztikának. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Virtuális gépek konfigurálása az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal alkalmazza az Automanage parancsot a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Virtuális gépek konfigurálása egyéni konfigurációs profillal az Azure Automanage-ba való előkészítéshez | Az Azure Automanage regisztrálja, konfigurálja és figyeli a virtuális gépeket a Microsoft felhőadaptálási keretrendszer for Azure-ban meghatározott ajánlott eljárásokkal. Ezzel a szabályzattal saját testreszabott konfigurációs profillal rendelkező automanage-t alkalmazhat a kiválasztott hatókörre. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| A gyakori elérésű fóliát engedélyezni kell Windows Server Azure Edition rendszerű virtuális gépeken | Az újraindítások minimalizálása és a frissítések gyors telepítése a hotpatch használatával. További információ: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Naplózás, megtagadás, letiltva | 1.0.0 |
Automation
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Automation-fióknak felügyelt identitással kell rendelkeznie | A felügyelt identitások használata ajánlott módszerként az Azure-erőforrások runbookokból való hitelesítéséhez. A hitelesítés felügyelt identitása biztonságosabb, és kiküszöböli a RunAs-fiók runbook-kódban való használatával kapcsolatos felügyeleti többletterhelést. | Naplózás, letiltva | 1.0.0 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Automation-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az Automation-fiók erőforrásainak kitettségét. További információ: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Automation-fióknak le kell tiltani a helyi hitelesítési módszert | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Automation-fiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Automation-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Automation-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/automation-cmk. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Automation-fiók konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Automation-fiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. | Módosítás, letiltva | 1.0.0 |
| Azure Automation-fiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Automation-fiók nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez a konfiguráció segít megvédeni őket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával korlátozhatja az Automation-fiók erőforrásainak kitettségét. További információ: https://aka.ms/privateendpoints. | Módosítás, letiltva | 1.0.0 |
| Azure Automation-fiókok konfigurálása privát DNS-zónákkal | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Az Azure Automation-fiókhoz az Azure Private Linken keresztüli csatlakozáshoz megfelelően konfigurált privát DNS-zónára van szükség. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát végpontkapcsolatok konfigurálása Azure Automation-fiókokon | A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy engedélyezik az Azure Automation-fiókokhoz való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ az Azure Automation privát végpontjairól: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Automation-fiókokon | A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik az Automation-fiókokhoz való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ az Azure Automation privát végpontjairól: https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Active Directory tartományi szolgáltatások felügyelt tartományoknak csak TLS 1.2 üzemmódot kell használniuk | Csak TLS 1.2 módot használjon a felügyelt tartományokhoz. Az Azure AD Domain Services alapértelmezés szerint engedélyezi az olyan titkosítások használatát, mint az NTLM v1 és a TLS v1. Előfordulhat, hogy ezek a titkosítások néhány régebbi alkalmazáshoz szükségesek, de gyengenek minősülnek, és letilthatók, ha nincs rájuk szüksége. Ha a TLS 1.2 csak mód engedélyezve van, minden olyan ügyfél, amely nem TLS 1.2-t használ, sikertelen lesz. További információ: https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Naplózás, megtagadás, letiltva | 1.1.0 |
Azure AI Services
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure AI Services erőforrásainak konfigurálása a helyi kulcsok hozzáférésének letiltására (a helyi hitelesítés letiltása) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure AI Services erőforrásainak konfigurálása a helyi kulcsok hozzáférésének letiltására (a helyi hitelesítés letiltása) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a diagnosztikai naplókat az Azure AI-szolgáltatások erőforrásaiban | Naplók engedélyezése az Azure AI-szolgáltatások erőforrásaihoz. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, biztonsági incidensek vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Megtagadhatja a kiterjesztett biztonsági Frissítések (ESU-k) licencének létrehozását vagy módosítását. | Ez a szabályzat lehetővé teszi, hogy korlátozza a Windows Server 2012 Arc-gépek ESU-licenceinek létrehozását vagy módosítását. A díjszabásról további információt a https://aka.ms/ArcWS2012ESUPricing | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Engedélyezze a kiterjesztett biztonsági Frissítések (ESU-k) licencet, hogy a Windows 2012 rendszerű gépek védettek maradjanak a támogatási életciklusuk befejezése után. | Engedélyezze a kiterjesztett biztonsági Frissítések (ESU-k) licencet, hogy a Windows 2012 rendszerű gépek még a támogatási életciklusuk befejezése után is védve legyenek. Ismerje meg, hogyan készülhet fel a Kiterjesztett biztonsági Frissítések a Windows Server 2012-hez az AzureArcon keresztül történő kézbesítésére, kérjük, látogasson el https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updateside. A díjszabásról további információt a https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Az Azure Arc Private Link-hatóköröket privát végponttal kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Arc Private Link-hatókörökhöz való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Arc Private Link-hatóköröknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az Azure Arc-erőforrások nem tudnak csatlakozni a nyilvános interneten keresztül. Privát végpontok létrehozása korlátozhatja az Azure Arc-erőforrások expozícióját. További információ: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis kubernetes-fürtöket Azure Arc Private Link-hatókörrel kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Arc-kompatibilis kiszolgálókat Azure Arc Private Link-hatókörrel kell konfigurálni | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Arc Private Link-hatókörök konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Arc Private Link-hatókör nyilvános hálózati hozzáférését, hogy a társított Azure Arc-erőforrások ne tudjanak csatlakozni az Azure Arc-szolgáltatásokhoz a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
| Az Azure Arc Private Link-hatókörök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zónahivatkozások a virtuális hálózathoz az Azure Arc Private Link-hatókörök feloldásához. További információ: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Azure Arc Private Link-hatókörök konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Arc Private Link-hatókörökhöz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Azure Arc Private Link-hatókör használatára | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
| Azure Arc-kompatibilis kiszolgálók konfigurálása Azure Arc Private Link-hatókör használatára | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha az Azure Arc-kompatibilis kiszolgálókat egy privát végponttal konfigurált Azure Arc Private Link-hatókörhöz társítja, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/arc/privatelink. | Módosítás, letiltva | 1.0.0 |
Azure Adatkezelő
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Data Explorer összes adatbázis-Rendszergazda le kell tiltani | Tiltsa le az összes adatbázis-rendszergazdai szerepkört a magas jogosultságú/rendszergazdai felhasználói szerepkörök engedélyezésének korlátozásához. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Explorer-fürtnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Explorer-fürthöz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Naplózás, letiltva | 1.0.0 |
| Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia | Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Explorernek olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | A támogatott termékváltozatokkal az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok alkalmazásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Data Explorer-fürtök konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Data Explorerbe való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Data Explorer konfigurálása a nyilvános hálózati hozzáférés letiltására | A nyilvános hálózati hozzáférési tulajdonság letiltása leállítja a nyilvános kapcsolatot, így az Azure Data Explorer csak privát végpontról érhető el. Ez a konfiguráció letiltja az összes Azure Data Explorer-fürt nyilvános hálózati hozzáférését. | Módosítás, letiltva | 1.0.0 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure Data Explorerben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy az Azure Data Explorer csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a virtuális hálózati injektálást az Azure Data Explorerben | Biztonságossá teheti a hálózati szegélyhálózatot virtuális hálózati injektálással, amely lehetővé teszi a hálózati biztonsági csoport szabályainak kikényszerítését, a helyszíni csatlakozást és az adatforrások szolgáltatásvégpontokkal való védelmét. | Naplózás, megtagadás, letiltva | 1.0.0 |
Azure Databricks
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Databricks-fürtöknek le kell tiltania a nyilvános IP-címet | A fürtök nyilvános IP-címének letiltása az Azure Databricks-munkaterületeken javítja a biztonságot azáltal, hogy biztosítja, hogy a fürtök ne legyenek közzétéve a nyilvános interneten. További információ: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek virtuális hálózaton kell lenniük | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Databricks-munkaterületek, valamint alhálózatok, hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. További információ: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Azure Databricks-munkaterületeknek prémium termékváltozatnak kell lenniük, amely támogatja az olyan funkciókat, mint a privát kapcsolat, az ügyfél által felügyelt kulcs a titkosításhoz | Csak olyan, a szervezet által üzembe helyezhető Prémium termékváltozatú Databricks-munkaterületet engedélyezze, amely támogatja az olyan funkciókat, mint a Private Link, az ügyfél által felügyelt kulcs a titkosításhoz. További információ: https://aka.ms/adbpe. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Az erőforrások expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Databricks-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/adbpe. | Naplózás, letiltva | 1.0.2 |
| Az Azure Databricks-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Databricks-munkaterületekhez való feloldás érdekében. További információ: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Azure Databricks-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Databricks-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Az Azure Databricks-munkaterületek diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi az Azure Databricks-munkaterületek diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Azure Databricks-munkaterületek létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Databricks-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
Azure Edge Hardverközpont
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Edge Hardverközpont eszközeinek engedélyezve kell lennie a dupla titkosítási támogatásnak | Győződjön meg arról, hogy az Azure Edge Hardverközpontból megrendelt eszközök esetében engedélyezve van a dupla titkosítás támogatása az eszközön inaktív adatok védelme érdekében. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 2.0.0 |
Azure Load Testing
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure terheléstesztelési erőforrásának ügyfél által felügyelt kulcsokkal kell titkosítania az inaktív adatokat | Használja az ügyfél által felügyelt kulcsokat (CMK) az Azure Load Testing-erőforrás inaktív titkosításának kezeléséhez. Alapértelmezés szerint a titkosítás szolgáltatás által felügyelt kulcsokkal történik, az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Naplózás, megtagadás, letiltva | 1.0.0 |
Azure Purview
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Purview-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure Purview-fiókokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/purview-private-link. | Naplózás, letiltva | 1.0.0 |
Azure Stack Edge
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk | Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
Azure Update Manager
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hiányzó rendszerfrissítések rendszeres ellenőrzésének konfigurálása az Azure Arc-kompatibilis kiszolgálókon | Az Azure Arc-kompatibilis kiszolgálók operációsrendszer-frissítéseinek automatikus értékelését (24 óránként) konfigurálhatja. A hozzárendelés hatókörét a gép-előfizetés, az erőforráscsoport, a hely vagy a címke alapján szabályozhatja. További információ erről a Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux esetén: https://aka.ms/computevm-linuxpatchassessmentmode. | módosítás | 2.2.1 |
| Hiányzó rendszerfrissítések rendszeres ellenőrzésének konfigurálása azure-beli virtuális gépeken | Konfigurálja az automatikus értékelést (24 óránként) a natív Azure-beli virtuális gépek operációs rendszerének frissítéséhez. A hozzárendelés hatókörét a gép-előfizetés, az erőforráscsoport, a hely vagy a címke alapján szabályozhatja. További információ erről a Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux esetén: https://aka.ms/computevm-linuxpatchassessmentmode. | módosítás | 4.8.0 |
| A gépeket úgy kell konfigurálni, hogy rendszeresen ellenőrizze a hiányzó rendszerfrissítéseket | Annak érdekében, hogy a hiányzó rendszerfrissítések rendszeres értékelése 24 óránként automatikusan aktiválódjon, az AssessmentMode tulajdonságot az "AutomaticByPlatform" értékre kell állítani. További információ a AssessmentMode tulajdonságról a Windowshoz: https://aka.ms/computevm-windowspatchassessmentmode, Linuxhoz: https://aka.ms/computevm-linuxpatchassessmentmode. | Naplózás, megtagadás, letiltva | 3.7.0 |
| Ismétlődő frissítések ütemezése az Azure Update Managerrel | Az Azure Update Manager használatával mentheti az ismétlődő üzembehelyezési ütemezéseket a Windows Server- és Linux-gépek operációsrendszer-frissítéseinek telepítéséhez az Azure-ban, a helyszíni környezetekben és az Azure Arc-kompatibilis kiszolgálókon csatlakoztatott egyéb felhőkörnyezetekben. Ez a szabályzat az Azure-beli virtuális gép javítási módját is automatikusbyplatformra módosítja. További információ: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Backup
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Backup-bővítményt telepíteni kell az AKS-fürtökre | Az Azure Backup használatához gondoskodjon a biztonsági mentési bővítmény védelmének telepítéséről az AKS-fürtökben. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell az AKS-fürtökhöz | Az Azure Backup engedélyezésével gondoskodjon az AKS-fürtök védelméről. Az Azure Backup for AKS egy biztonságos és felhőalapú natív adatvédelmi megoldás az AKS-fürtökhöz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell a tárfiókokban lévő blobokhoz | Az Azure Backup engedélyezésével gondoskodjon a tárfiókok védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backupot engedélyezni kell felügyelt lemezekhez | Az Azure Backup engedélyezésével gondoskodjon a felügyelt lemezek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Backup Vaultoknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához. Az infratitkosítás kényszerítésére is lehetőség van. | Ez a szabályzat az "effektust" követi, ha a hatókörben lévő Backup-tárolók esetében engedélyezve van a titkosítási Gépház. Emellett azt is ellenőrizheti, hogy a Backup Vaultban engedélyezve van-e az infrastruktúra-titkosítás. További információ: https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Vegye figyelembe, hogy ha a "Megtagadás" effektust használja, engedélyeznie kell a titkosítási Gépház a meglévő biztonsági mentési tárolókon, hogy a tároló egyéb frissítési műveletei is áthaladhassanak. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a helyreállítási tár nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a helyreállítási tár expozícióját. További információ: https://aka.ms/AB-PublicNetworkAccess-Deny. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak privát hivatkozást kell használniuk a biztonsági mentéshez | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/AB-PrivateEndpoints. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Azure Recovery Services-tárolók konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a helyreállítási tár nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/AB-PublicNetworkAccess-Deny. | Módosítás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiókokban lévő blobok biztonsági mentésének konfigurálása egy adott címkével az ugyanabban a régióban lévő meglévő biztonsági mentési tárolóra | Biztonsági mentés kényszerítése minden olyan tárfiókon, amely egy adott címkét tartalmaz egy központi biztonsági mentési tárolóba. Ezzel nagy méretekben kezelheti a több tárfiókban található blobok biztonsági mentését. További részletekért lásd: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Blob biztonsági mentésének konfigurálása az összes olyan tárfiókhoz, amely nem tartalmaz adott címkét az ugyanabban a régióban lévő biztonsági mentési tárolóhoz | Biztonsági mentés kényszerítése minden olyan tárfiókon, amely nem tartalmaz adott címkét a központi biztonsági mentési tárolóban. Ezzel nagy méretekben kezelheti a több tárfiókban található blobok biztonsági mentését. További részletekért lásd: https://aka.ms/AB-BlobBackupAzPolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Recovery Services-tárolók konfigurálása privát DNS-zónák biztonsági mentéshez való használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Recovery Services-tárolóhoz való feloldás érdekében. További információ: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Recovery Services-tárolók konfigurálása privát végpontok biztonsági mentéshez való használatára | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Recovery Services-tárolókhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. Vegye figyelembe, hogy a tárolóknak meg kell felelniük bizonyos előfeltételeknek ahhoz, hogy jogosultak legyenek a privát végpontok konfigurálására. További információ: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Recovery Services-tárolók előfizetések közötti visszaállításának letiltása | Tiltsa le vagy véglegesíthesse az előfizetések közötti visszaállítást a Recovery Services-tárolóhoz, hogy a visszaállítási célok ne legyenek más előfizetésben, mint a tároló-előfizetés. További információ: https://aka.ms/csrenhancements. | Módosítás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Az előfizetések közötti visszaállítás letiltása Backup-tárolókhoz | Tiltsa le vagy állítsa le véglegesen az előfizetések közötti visszaállítást a Backup-tárolóhoz, hogy a visszaállítási célok ne legyenek különböző előfizetésben a tároló-előfizetéstől. További információ: https://aka.ms/csrstatechange. | Módosítás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Ne engedélyezze a kiválasztott tárredundancia Recovery Services-tárolóinak létrehozását. | A Recovery Services-tárolók a jelenleg elérhető három tárolási redundancia közül bármelyikkel létrehozhatók, nevezetesen a helyileg redundáns tárolás, a zónaredundáns tárolás és a georedundáns tárolás. Ha a szervezet szabályzatai megkövetelik, hogy tiltsa le egy adott redundanciatípushoz tartozó tárolók létrehozását, ezt az Azure-szabályzatot használhatja. | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonsági mentési tárolók esetében engedélyezni kell a nem módosíthatóságot | Ez a szabályzat ellenőrzi, hogy a nem módosítható tárolók tulajdonság engedélyezve van-e a hatókörben lévő Backup-tárolókhoz. Ez segít megvédeni a biztonsági mentési adatokat a tervezett lejárat előtt történő törléstől. További információ: https://aka.ms/AB-ImmutableVaults. | Naplózás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A nem módosíthatóságot engedélyezni kell a Recovery Services-tárolókhoz | Ez a szabályzat ellenőrzi, hogy a nem módosítható tárolók tulajdonság engedélyezve van-e a hatókörben lévő Recovery Services-tárolókhoz. Ez segít megvédeni a biztonsági mentési adatokat a tervezett lejárat előtt történő törléstől. További információ: https://aka.ms/AB-ImmutableVaults. | Naplózás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A többfelhasználós hitelesítést (MUA) engedélyezni kell a Biztonsági mentési tárolókhoz. | Ez a szabályzat ellenőrzi, hogy a többfelhasználós engedélyezés (MUA) engedélyezve van-e a Biztonsági mentési tárolókhoz. A MUA egy további védelmi réteg hozzáadásával segíti a Biztonsági mentési tárolók védelmét a kritikus műveletekhez. További információ: https://aka.ms/mua-for-bv. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A többfelhasználós engedélyezést (MUA) engedélyezni kell a Recovery Services-tárolókhoz. | Ez a szabályzat ellenőrzi, hogy engedélyezve van-e a többfelhasználós engedélyezés (MUA) a Recovery Services-tárolókban. A MUA egy további védelmi réteg hozzáadásával segíti a Helyreállítási tárak védelmét a kritikus műveletekhez. További információ: https://aka.ms/MUAforRSV. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A helyreállítható törlést engedélyezni kell a Recovery Services-tárolókhoz. | Ez a szabályzat ellenőrzi, hogy engedélyezve van-e a helyreállítható törlés a hatókörben lévő Recovery Services-tárolók esetében. A helyreállítható törlés még a törlés után is segíthet helyreállítani az adatokat. További információ: https://aka.ms/AB-SoftDelete. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A helyreállítható törlést engedélyezni kell a Backup Vaultokhoz | Ez a szabályzat ellenőrzi, hogy engedélyezve van-e a helyreállítható törlés a hatókörben lévő Backup-tárolók esetében. A helyreállítható törlés segíthet helyreállítani az adatokat a törlés után. További információ: https://aka.ms/AB-SoftDelete | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Biztonsági mentés konfigurálása virtuális gépeken egy adott címkével egy új helyreállítási tárba egy alapértelmezett szabályzattal | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez helyezzen üzembe egy helyreállítási tárat a virtuális géppel azonos helyen és erőforráscsoportban. Ez akkor hasznos, ha a szervezet különböző alkalmazáscsapatai külön erőforráscsoportokat foglalnak le, és saját biztonsági mentéseket és visszaállításokat kell kezelniük. A hozzárendelés hatókörének szabályozásához megadhat egy megadott címkét tartalmazó virtuális gépeket is. Lásd: https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Biztonsági mentés konfigurálása egy adott címkével rendelkező virtuális gépeken egy meglévő helyreállítási tárra ugyanazon a helyen | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez készítsen biztonsági másolatot egy meglévő központi helyreállítási tárról a virtuális géppel azonos helyen és előfizetésben. Ez akkor hasznos, ha egy központi csapat felügyeli az előfizetés összes erőforrásának biztonsági mentését. A hozzárendelés hatókörének szabályozásához megadhat egy megadott címkét tartalmazó virtuális gépeket is. Lásd: https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Biztonsági mentés konfigurálása adott címke nélküli virtuális gépeken egy új helyreállítási tárba egy alapértelmezett házirenddel | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez helyezzen üzembe egy helyreállítási tárat a virtuális géppel azonos helyen és erőforráscsoportban. Ez akkor hasznos, ha a szervezet különböző alkalmazáscsapatai külön erőforráscsoportokat foglalnak le, és saját biztonsági mentéseket és visszaállításokat kell kezelniük. A hozzárendelés hatókörének szabályozásához opcionálisan kizárhatja a megadott címkét tartalmazó virtuális gépeket. Lásd: https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Biztonsági mentés konfigurálása egy adott címke nélküli virtuális gépeken egy meglévő helyreállítási tárra ugyanazon a helyen | Az összes virtuális gép biztonsági mentésének kikényszerítéséhez készítsen biztonsági másolatot egy meglévő központi helyreállítási tárról a virtuális géppel azonos helyen és előfizetésben. Ez akkor hasznos, ha egy központi csapat felügyeli az előfizetés összes erőforrásának biztonsági mentését. A hozzárendelés hatókörének szabályozásához opcionálisan kizárhatja a megadott címkét tartalmazó virtuális gépeket. Lásd: https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Diagnosztikai Gépház üzembe helyezése a Recovery Services-tárolóhoz a Log Analytics-munkaterületen erőforrás-specifikus kategóriák esetén. | A Recovery Services Vault diagnosztikai Gépház üzembe helyezése erőforrás-specifikus kategóriákhoz tartozó Log Analytics-munkaterületre való streameléshez. Ha valamelyik erőforrás-specifikus kategória nincs engedélyezve, a rendszer új diagnosztikai beállítást hoz létre. | deployIfNotExists | 1.0.2 |
Batch
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Batch-fióknak ügyfél által felügyelt kulcsokat kell használnia az adatok titkosításához | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Batch-fiók adatainak többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/Batch-CMK. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Batch-készletekben engedélyezve kell lennie a lemeztitkosításnak | Az Azure Batch lemeztitkosításának engedélyezése biztosítja, hogy az adatok mindig inaktív állapotban vannak titkosítva az Azure Batch számítási csomóponton. További információ a Batch lemeztitkosításáról a következő címen https://docs.microsoft.com/azure/batch/disk-encryption: . | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| A Batch-fiókokban le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy a Batch-fiókok kizárólag a hitelesítéshez igényelnek Azure Active Directory-identitásokat. További információ: https://aka.ms/batch/auth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Batch-fiókok konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyhitelesítési módszereket, hogy a Batch-fiókok kizárólag a hitelesítéshez igényelhessenek Azure Active Directory-identitásokat. További információ: https://aka.ms/batch/auth. | Módosítás, letiltva | 1.0.0 |
| Batch-fiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Ha letiltja a nyilvános hálózati hozzáférést a Batch-fiókon, azzal javítja a biztonságot, hogy a Batch-fiók csak privát végpontról érhető el. További információ a nyilvános hálózati hozzáférés letiltásáról a címen https://docs.microsoft.com/azure/batch/private-connectivity. | Módosítás, letiltva | 1.0.0 |
| Batch-fiókok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Batch-fiókokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Privát DNS-zónák konfigurálása a Batch-fiókokhoz csatlakozó privát végpontokhoz | saját DNS rekordok engedélyezik a privát végpontokhoz való privát kapcsolatokat. A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik a Batch-fiókokhoz való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ a Batch privát végpontjairól és DNS-zónáiról: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| A metrikariasztási szabályokat Batch-fiókokon kell konfigurálni | A Batch-fiók metrikariasztási szabályainak naplózása a szükséges metrikák engedélyezéséhez | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat a Batch-fiókokon | A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik a Batch-fiókokhoz való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ a Batch privát végpontjairól: https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani Batch-fiókok esetén | Ha letiltja a nyilvános hálózati hozzáférést a Batch-fiókon, azzal javítja a biztonságot, hogy a Batch-fiók csak privát végpontról érhető el. További információ a nyilvános hálózati hozzáférés letiltásáról a címen https://docs.microsoft.com/azure/batch/private-connectivity. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Bot Service
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Bot Service-végpontnak érvényes HTTPS URI-nak kell lennie | Átvitel közben az adatokat illetéktelenek is módosíthatják. Léteznek protokollok, amelyek titkosítást biztosítanak a visszaélések és az illetéktelen módosítási problémák megoldása érdekében. Annak érdekében, hogy a robotok csak titkosított csatornákon keresztül kommunikáljanak, állítsa a végpontot érvényes HTTPS URI-ra. Ez biztosítja, hogy a HTTPS protokollt használják az adatok átvitel közbeni titkosítására, és gyakran követelmény a szabályozási vagy iparági szabványoknak való megfeleléshez is. Kérjük, látogasson el: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Bot Service-t ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Bot Service automatikusan titkosítja az erőforrást az adatok védelme és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítése érdekében. Alapértelmezés szerint a Microsoft által felügyelt titkosítási kulcsokat használja a rendszer. A kulcsok kezelésének vagy az előfizetéshez való hozzáférés szabályozásának nagyobb rugalmassága érdekében válassza ki az ügyfél által felügyelt kulcsokat, más néven saját kulcsot (BYOK). További információ az Azure Bot Service titkosításáról: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Bot Service-nek engedélyeznie kell az elkülönített módot | A robotokat "csak izolált" módra kell állítani. Ez a beállítás olyan Bot Service-csatornákat konfigurál, amelyekhez le kell tiltani a nyilvános interneten keresztüli forgalmat. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A Bot Service-nek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása azáltal javítja a biztonságot, hogy a robot kizárólag a hitelesítéshez használja az AAD-t. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Service-nek le kell tiltani a nyilvános hálózati hozzáférést | A robotokat "csak izolált" módra kell állítani. Ez a beállítás olyan Bot Service-csatornákat konfigurál, amelyekhez le kell tiltani a nyilvános interneten keresztüli forgalmat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A BotService-erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A Privát végpontok BotService-erőforráshoz való leképezésével csökken az adatszivárgás kockázata. | Naplózás, letiltva | 1.0.0 |
| BotService-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a BotService-hez kapcsolódó erőforrások feloldásához. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| BotService-erőforrások konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a BotService-erőforráshoz, csökkentheti az adatszivárgási kockázatokat. | DeployIfNotExists, Disabled | 1.0.0 |
Gyorsítótár
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Cache for Redisnek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az Azure Cache for Redis nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az Azure Cache for Redis kitettségét. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cache for Redis konfigurálása nem SSL-portok letiltására | Csak SSL-kapcsolatok engedélyezése az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Módosítás, letiltva | 1.0.0 |
| Az Azure Cache for Redis konfigurálása a nyilvános hálózati hozzáférés letiltására | Tiltsa le az Azure Cache for Redis-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez segít megvédeni a gyorsítótárat az adatszivárgási kockázatokkal szemben. | Módosítás, letiltva | 1.0.0 |
| Az Azure Cache for Redis konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zónák csatolhatók a virtuális hálózathoz az Azure Cache for Redis feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Cache for Redis konfigurálása privát végpontokkal | A privát végpontok lehetővé teszik a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásban vagy a célhelyen. A privát végpontok Azure Cache for Redis-erőforrásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
Tartalomkézbesítési hálózat (CDN)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Front Door-profilok prémium szintűek, amelyek támogatják a felügyelt WAF-szabályokat és a privát kapcsolatot | Az Azure Front Door Premium támogatja az Azure által felügyelt WAF-szabályokat és a támogatott Azure-forrásokkal való privát kapcsolatot. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Front Door Standard és Prémium verziónak legalább 1.2-es TLS-verziót kell futtatnia | A minimális TLS-verzió 1.2-es verziójának beállítása javítja a biztonságot azáltal, hogy az egyéni tartományokat a TLS 1.2-es vagy újabb verziójával érheti el az ügyfelektől. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel gyengeek, és nem támogatják a modern titkosítási algoritmusokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Biztonságos privát kapcsolat az Azure Front Door Premium és az Azure Storage Blob vagy Azure-alkalmazás Szolgáltatás között | A privát kapcsolat biztosítja az AFD Premium és az Azure Storage Blob vagy Azure-alkalmazás Szolgáltatás közötti privát kapcsolatot az Azure gerinchálózatán keresztül anélkül, hogy az Azure Storage-blob vagy a Azure-alkalmazás szolgáltatás nyilvánosan elérhető legyen az interneten. | Naplózás, letiltva | 1.0.0 |
ChangeTrackingAndInventory
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Linux Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás telepítése Linux Arc-kompatibilis gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését Linux Arc-kompatibilis gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, ha a régió támogatott. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| [Előzetes verzió]: Linux rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás telepítése Linux rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-előzetes verzió |
| [Előzetes verzió]: Linux VMSS konfigurálása a ChangeTracking és az Inventory adatgyűjtő szabályához való társításához | Társítás üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Linux VMSS konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Linux rendszerű virtuálisgép-méretezési csoportokon a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows Arc-kompatibilis gépeket úgy, hogy a ChangeTracking és az Inventory adatgyűjtési szabályához legyenek társítva | Társítás üzembe helyezése a Windows Arc-kompatibilis gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Windows Arc-kompatibilis gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows Arc-kompatibilis gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows rendszerű virtuális gépeket úgy, hogy a ChangeTracking és a Inventory adatgyűjtési szabályához legyenek társítva | Társítás telepítése Windows rendszerű virtuális gépek adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Windows rendszerű virtuális gépek konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez felhasználó által hozzárendelt felügyelt identitással | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows VMSS-t úgy, hogy a ChangeTracking és a Inventory adatgyűjtési szabályához legyen társítva | Társítás üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportok adott adatgyűjtési szabályhoz való csatolásához a ChangeTracking és az Inventory engedélyezéséhez. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Windows VMSS konfigurálása a ChangeTracking és az Inventory AMA telepítéséhez a felhasználó által hozzárendelt felügyelt identitással | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows rendszerű virtuálisgép-méretezési csoportokon a ChangeTracking és az Inventory engedélyezéséhez. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
Cognitive Services
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Cognitive Services-fiókoknak engedélyeznie kell az ügyfél által felügyelt kulccsal történő adattitkosítást | Az ügyfél által felügyelt kulcsok gyakran szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik a Cognitive Servicesben tárolt adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ az ügyfél által felügyelt kulcsokról itt https://go.microsoft.com/fwlink/?linkid=2121321: . | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Cognitive Services-fiókoknak felügyelt identitást kell használniuk | Felügyelt identitás hozzárendelése a Cognitive Service-fiókhoz a biztonságos hitelesítés biztosításához. Ezt az identitást használja ez a Cognitive Service-fiók más Azure-szolgáltatásokkal, például az Azure Key Vaulttal való kommunikációhoz biztonságos módon anélkül, hogy hitelesítő adatokat kellene kezelnie. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Cognitive Services-fiókoknak ügyfél által birtokolt tárterületet kell használniuk | Az ügyfél tulajdonában lévő tároló használatával szabályozhatja a Cognitive Servicesben inaktív állapotban tárolt adatokat. Ha többet szeretne megtudni az ügyfél tulajdonában lévő tárolóról, látogasson el https://aka.ms/cogsvc-cmkide. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.0 |
| Cognitive Services-fiókok konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy a Cognitive Services-fiókok kizárólag a hitelesítéshez igényelhessenek Azure Active Directory-identitásokat. További információ: https://aka.ms/cs/auth. | Módosítás, letiltva | 1.0.0 |
| Cognitive Services-fiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a Cognitive Services-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://go.microsoft.com/fwlink/?linkid=2129800. | Letiltva, módosítás | 3.0.0 |
| Cognitive Services-fiókok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Cognitive Services-fiókokhoz való feloldás érdekében. További információ: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Cognitive Services-fiókok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Compute
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezett virtuálisgép-méretű termékváltozatok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető virtuálisgép-méretű termékváltozatok megadását. | Megtagadás | 1.0.1 |
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Felügyelt lemezeket nem használó virtuális gépek naplózása | Ez a szabályzat a felügyelt lemezeket nem használó virtuális gépeket naplózza | naplózás | 1.0.0 |
| Vészhelyreállítás konfigurálása virtuális gépeken az Azure Site Recoveryn keresztüli replikáció engedélyezésével | A vészhelyreállítási konfigurációval nem rendelkező virtuális gépek ki vannak téve a kimaradásoknak és egyéb fennakadásoknak. Ha a virtuális gép még nem rendelkezik vészhelyreállítási konfigurálással, ez ugyanezt kezdeményezné azáltal, hogy engedélyezi a replikációt előre beállított konfigurációkkal az üzletmenet folytonosságának elősegítése érdekében. A hozzárendelés hatókörének szabályozásához opcionálisan felvehet vagy kizárhat egy adott címkét tartalmazó virtuális gépeket. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | DeployIfNotExists, Disabled | 2.1.0 |
| Lemezhozzáférés-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna a virtuális hálózathoz kapcsolódik, hogy feloldja a felügyelt lemezt. További információ: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Lemezelérési erőforrások konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok lemezhozzáférési erőforrásokhoz való leképezésével csökkentheti az adatszivárgás kockázatát. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Felügyelt lemezek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést a felügyelt lemezerőforráshoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/disksprivatelinksdoc. | Módosítás, letiltva | 2.0.0 |
| Alapértelmezett Microsoft IaaSAntimalware-bővítmény üzembe helyezése Windows Serverhez | Ez a szabályzat egy Alapértelmezett konfigurációjú Microsoft IaaSAntimalware-bővítményt helyez üzembe, ha egy virtuális gép nincs konfigurálva a kártevőirtó bővítménysel. | deployIfNotExists | 1.1.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani | A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt lemezeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy egy felügyelt lemez nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a felügyelt lemezek expozícióját. További információ: https://aka.ms/disksprivatelinksdoc. | Naplózás, letiltva | 2.0.0 |
| A felügyelt lemezeknek egy adott lemeztitkosítási csoportot kell használniuk az ügyfél által felügyelt kulcstitkosításhoz | A felügyelt lemezekhez használandó lemeztitkosítási készletek meghatározott készletének megkövetelése lehetővé teszi a inaktív titkosításhoz használt kulcsok vezérlését. Kiválaszthatja az engedélyezett titkosított készleteket, és a rendszer minden mást elutasít egy lemezhez csatolva. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure-hoz készült Microsoft Antimalware-t úgy kell konfigurálni, hogy automatikusan frissítse a védelmi aláírásokat | Ez a szabályzat naplóz minden olyan Windows rendszerű virtuális gépet, amely nincs konfigurálva a Microsoft Antimalware védelmi aláírásainak automatikus frissítésével. | AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft IaaSAntimalware bővítményt Windows-kiszolgálókon kell üzembe helyezni | Ez a szabályzat a Microsoft IaaSAntimalware bővítmény üzembe helyezése nélkül naplóz minden Windows Server rendszerű virtuális gépet. | AuditIfNotExists, Disabled | 1.1.0 |
| Csak jóváhagyott virtuálisgép-bővítményeket kell telepíteni | Ez a szabályzat a nem jóváhagyott virtuálisgép-bővítményeket szabályozza. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 3.0.0 |
| Az adatok védelme hitelesítési követelményekkel lemez vagy pillanatkép exportálásakor vagy feltöltésekor. | Az exportálási/feltöltési URL-cím használatakor a rendszer ellenőrzi, hogy a felhasználó rendelkezik-e identitással az Azure Active Directoryban, és rendelkezik-e az adatok exportálásához/feltöltéséhez szükséges engedélyekkel. Tekintse meg aka.ms/DisksAzureADAuth. | Módosítás, letiltva | 1.0.0 |
| Automatikus operációsrendszer-rendszerkép-javítás megkövetelése a virtuálisgép-méretezési csoportokon | Ez a szabályzat a virtuálisgép-méretezési csoportok automatikus operációsrendszer-rendszerkép-javításának engedélyezését kényszeríti ki a virtuális gépek biztonságának megőrzéséhez a legújabb biztonsági javítások minden hónapban történő biztonságos alkalmazásával. | elutasítás | 1.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
Container Apps
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A hitelesítést engedélyezni kell a Container Appsben | A Container Apps-hitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a tárolóalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a tárolóalkalmazás elérése előtt | AuditIfNotExists, Disabled | 1.0.1 |
| A tárolóalkalmazás-környezeteknek hálózati injektálást kell használniuk | A Container Apps-környezeteknek a következő virtuális hálózati injektálást kell használniuk: 1.A Container Apps elkülönítése a nyilvános internetről 2.Hálózati integráció engedélyezése a helyszíni vagy más Azure-beli virtuális hálózatokkal 3. A környezetbe irányuló és onnan érkező hálózati forgalom részletesebb szabályozása. | Naplózás, Letiltás, Megtagadás | 1.0.2 |
| A tárolóalkalmazásnak kötet csatlakoztatásával kell konfigurálnia | Az állandó tárolókapacitás rendelkezésre állásának biztosítása érdekében kényszerítse ki a Container Apps mennyiségi csatlakoztatásainak használatát. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Container Apps-környezetnek le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a nyilvános hálózati hozzáférést a biztonság javítása érdekében, ha egy belső terheléselosztón keresztül teszi közzé a Container Apps-környezetet. Ez megszünteti a nyilvános IP-cím szükségességét, és megakadályozza az internet-hozzáférést a környezet összes Container Apps-alkalmazásához. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Container Appsnek le kell tiltania a külső hálózati hozzáférést | Tiltsa le a tárolóalkalmazásokhoz való külső hálózati hozzáférést a csak belső bejövő forgalom kényszerítésével. Ez biztosítja, hogy a Container Apps bejövő kommunikációja a Container Apps-környezet hívóira korlátozódjon. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Container Apps csak HTTPS-en keresztül érhető el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Az "allowInsecure" letiltásával automatikusan átirányítja a kéréseket HTTP-ről HTTPS-kapcsolatokra a tárolóalkalmazások számára. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A felügyelt identitást engedélyezni kell a Container Appsben | A felügyelt identitás kényszerítése biztosítja, hogy a Container Apps biztonságosan hitelesíthesse magát minden olyan erőforráson, amely támogatja az Azure AD-hitelesítést | Naplózás, megtagadás, letiltva | 1.0.1 |
Tárolópéldány
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Container Instance tárolócsoportnak virtuális hálózaton kell üzembe helyeznie | Biztonságos kommunikáció a tárolók és az Azure Virtual Networks között. Virtuális hálózat megadásakor a virtuális hálózaton belüli erőforrások biztonságosan és privátan kommunikálhatnak egymással. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Az Azure Container Instance tárolócsoportjának ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által felügyelt kulcsokkal nagyobb rugalmassággal védheti a tárolókat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Tárolócsoportok diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a tárolópéldány diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó tárolópéldányok létrejönnek vagy frissülnek. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Container Instances
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tárolócsoport diagnosztikáinak konfigurálása log analytics-munkaterületre | Hozzáfűzi a megadott Log Analytics-munkaterületazonosítót és -munkaterületkulcsot, amikor a mezőket hiányzó tárolócsoportok létrejönnek vagy frissülnek. A szabályzat alkalmazása előtt létrehozott tárolócsoportok mezőit csak akkor módosítja, ha az erőforráscsoportok módosulnak. | Hozzáfűzés, Letiltva | 1.0.0 |
Container Registry
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Konfigurálja a tárolóregisztrációs adatbázisokat a névtelen hitelesítés letiltásához. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhesse hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat az ARM-célközönség jogkivonat-hitelesítésének letiltásához. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat a helyi rendszergazdai fiók letiltásához. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.1 |
| Tárolóregisztrációs adatbázisok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a tárolóregisztrációs adatbázis-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a tárolóregisztrációs adatbázisokat az adattár hatókörű hozzáférési jogkivonatának letiltásához. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Módosítás, letiltva | 1.0.0 |
| Tárolóregisztrációs adatbázisok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A tárolóregisztrációs adatbázishoz való feloldás érdekében egy privát DNS-zóna kapcsolódik a virtuális hálózathoz. További információ: https://aka.ms/privatednszone és https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Tárolóregisztrációs adatbázisok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a prémium szintű tárolóregisztrációs adatbázis erőforrásaihoz, csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/privateendpoints és https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| A tárolóregisztrációs adatbázisokban le kell tiltani a névtelen hitelesítést. | Tiltsa le a névtelen lekérést a beállításjegyzékben, hogy a nem hitelesített felhasználó ne férhessenek hozzá az adatokhoz. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisokban le kell tiltani az ARM-célközönség jogkivonatának hitelesítését. | Tiltsa le az Azure Active Directory ARM célközönség-jogkivonatait a beállításjegyzékben való hitelesítéshez. A hitelesítéshez csak az Azure Container Registry (ACR) célközönség-jogkivonatai lesznek használva. Ez biztosítja, hogy csak a beállításjegyzékben való használatra szánt jogkivonatok használhatók a hitelesítéshez. Az ARM-célközönség jogkivonatainak letiltása nincs hatással a rendszergazdai felhasználó vagy a hatókörön belüli hozzáférési jogkivonatok hitelesítésére. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak le kell tiltani az exportálást | Az exportálás letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a regisztrációs adatbázisban lévő adatok kizárólag az adatsíkon (docker pull) keresztül férhessenek hozzá. Az adatok nem helyezhetők át a beállításjegyzékből "acr import" vagy "acr transfer" használatával. Az exportálás letiltásához le kell tiltani a nyilvános hálózati hozzáférést. További információ: https://aka.ms/acr/export-policy. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisokban le kell tiltani a helyi rendszergazdai fiókot. | Tiltsa le a beállításjegyzék rendszergazdai fiókját, hogy a helyi rendszergazda ne férhesse hozzá. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárolóregisztrációs adatbázisoknak le kell tiltani az adattár hatókörű hozzáférési jogkivonatát. | Tiltsa le az adattár hatókörön belüli hozzáférési jogkivonatait a beállításjegyzékben, hogy az adattárak ne férhessenek hozzá jogkivonatok által. Ha letiltja a helyi hitelesítési módszereket, például a rendszergazdai felhasználót, az adattár hatókörébe tartozó hozzáférési jogkivonatokat és a névtelen lekérést, azzal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/acr/authentication. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak olyan termékváltozatokkal kell rendelkezniük, amelyek támogatják a privát hivatkozásokat | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgás kockázata csökken. További információ: https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkéshttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak meg kell akadályoznia a gyorsítótárszabály létrehozását | Tiltsa le az Azure Container Registry gyorsítótárszabályainak létrehozását a gyorsítótár lekérésének megakadályozása érdekében. További információ: https://aka.ms/acr/cache. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A nyilvános hálózati hozzáférést le kell tiltani a tárolóregisztrációs adatbázisok esetében | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a tárolóregisztrációs adatbázisok nem érhetők el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a tárolóregisztrációs adatbázis erőforrásainak kitettségét. További információ: https://aka.ms/acr/portal/public-network és https://aka.ms/acr/private-link. | Naplózás, megtagadás, letiltva | 1.0.0 |
Cosmos DB
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az Azure Cosmos DB-fiókok nem léphetik túl az utolsó fiókkulcs-újragenerálás óta engedélyezett napok maximális számát. | A megadott idő alatt újragenerálhatja a kulcsokat, hogy az adatok védettebbek legyenek. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Engedélyezett Azure Cosmos DB-helyek | Ez a szabályzat lehetővé teszi, hogy korlátozza a szervezet által az Azure Cosmos DB-erőforrások üzembe helyezésekor megadható helyeket. A földrajzi megfelelőségi követelmények betartására szolgál. | [parameters('policyEffect')] | 1.1.0 |
| Le kell tiltani az Azure Cosmos DB kulcsalapú metaadat-írási hozzáférését | Ez a szabályzat lehetővé teszi, hogy minden Azure Cosmos DB-fiók letiltsa a kulcsalapú metaadatok írási hozzáférését. | hozzáfűzés | 1.0.0 |
| Az Azure Cosmos DB-nek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a CosmosDB-fiók ne legyen közzétéve a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a CosmosDB-fiók expozícióját. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cosmos DB átviteli sebességének korlátozottnak kell lennie | Ez a szabályzat lehetővé teszi, hogy korlátozza a szervezet által megadható maximális átviteli sebességet az Azure Cosmos DB-adatbázisok és -tárolók erőforrás-szolgáltatón keresztüli létrehozásakor. Letiltja az automatikus skálázási erőforrások létrehozását. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Cosmos DB-adatbázisfiókok konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy a Cosmos DB-adatbázisfiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Módosítás, letiltva | 1.1.0 |
| CosmosDB-fiókok konfigurálása a nyilvános hálózati hozzáférés letiltására | Tiltsa le a CosmosDB-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Módosítás, letiltva | 1.0.1 |
| CosmosDB-fiókok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a CosmosDB-fiók feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| CosmosDB-fiókok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a CosmosDB-fiókhoz, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| A Cosmos DB-adatbázisfiókoknak le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy a Cosmos DB-adatbázisfiókok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Advanced Threat Protection üzembe helyezése Cosmos DB-fiókokhoz | Ez a szabályzat lehetővé teszi az Advanced Threat Protection használatát Cosmos DB-fiókokban. | DeployIfNotExists, Disabled | 1.0.0 |
Egyéni szolgáltató
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Társítások üzembe helyezése egyéni szolgáltatóhoz | Üzembe helyez egy társítás típusú erőforrást, amely a kijelölt erőforrástípusokat a megadott egyéni szolgáltatóhoz társítja. Ez a házirend-telepítés nem támogatja a beágyazott erőforrástípusokat. | deployIfNotExists | 1.0.0 |
Data Box
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Box-feladatoknak egy ügyfél által felügyelt kulccsal kell titkosítaniuk az eszköz feloldási jelszavát | Ügyfél által felügyelt kulccsal szabályozhatja az eszköz feloldási jelszavának titkosítását az Azure Data Boxhoz. Az ügyfél által felügyelt kulcsok a Data Box szolgáltatás által az eszköz feloldási jelszavához való hozzáférést is kezelik az eszköz előkészítése és az adatok automatikus másolása érdekében. Az eszközön lévő adatok már inaktív állapotban vannak titkosítva az Advanced Encryption Standard 256 bites titkosítással, és az eszköz feloldási jelszava alapértelmezés szerint egy Microsoft által felügyelt kulccsal van titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
Data Factory
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Data Factory-folyamatoknak csak az engedélyezett tartományokkal kell kommunikálniuk | Az adat- és jogkivonat-kiszivárgás megakadályozása érdekében állítsa be azokat a tartományokat, amelyekkel az Azure Data Factory kommunikálhat. Megjegyzés: A nyilvános előzetes verzióban a szabályzat megfelelőségét nem jelenti a rendszer, és ha a szabályzatot a Data Factoryre szeretné alkalmazni, engedélyezze a kimenő szabályok funkcióit az ADF studióban. További információ: https://aka.ms/data-exfiltration-policy. | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure-adatgyárakat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Data Factory többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/adf-cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Data Factory integrációs moduljának korlátot kell szabnia a magok számára | Az erőforrások és a költségek kezeléséhez korlátozza az integrációs futtatókörnyezet magjainak számát. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Factory társított szolgáltatás erőforrástípusának engedélyezési listában kell lennie | Adja meg az Azure Data Factory társított szolgáltatástípusainak engedélyezési listáját. Az engedélyezett erőforrástípusok korlátozása lehetővé teszi az adatáthelyezés határának szabályozását. Korlátozhatja például, hogy egy hatókör csak a Data Lake Storage Gen1 és Gen2 blobtárolóit engedélyezze elemzéshez, vagy egy hatókört, amely csak az SQL és a Kusto számára engedélyezi a hozzáférést valós idejű lekérdezésekhez. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Factory társított szolgáltatásainak a Key Vaultot kell használniuk a titkos kódok tárolásához | A titkos kódok (például kapcsolati sztring) biztonságos kezelésének biztosításához a felhasználóknak az Azure Key Vault használatával kell titkos kulcsokat megadniuk ahelyett, hogy beágyazott szolgáltatásokat adnak meg nekik. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Factory társított szolgáltatásainak rendszer által hozzárendelt felügyelt identitáshitelesítést kell használniuk, ha támogatott | A rendszer által hozzárendelt felügyelt identitás használata az adattárakkal társított szolgáltatásokon keresztüli kommunikáció során elkerüli a kevésbé biztonságos hitelesítő adatok, például jelszavak vagy kapcsolati sztring használatát. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Data Factorynek git-adattárat kell használnia a forráskezeléshez | Csak a fejlesztői adat-előállítót konfigurálja Git-integrációval. A teszteléshez és az éles környezethez való módosításokat CI/CD-n keresztül kell üzembe helyezni, és NEM kell Git-integrációval rendelkezniük. NE alkalmazza ezt a szabályzatot a minőségbiztosítási / tesztelési / éles adat-előállítókra. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Adat-előállítók konfigurálása a nyilvános hálózati hozzáférés letiltására | Tiltsa le a Data Factory nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Módosítás, letiltva | 1.0.0 |
| Privát DNS-zónák konfigurálása az Azure Data Factoryhez csatlakozó privát végpontokhoz | saját DNS rekordok engedélyezik a privát végpontokhoz való privát kapcsolatokat. A privát végpontkapcsolatok lehetővé teszik a biztonságos kommunikációt azáltal, hogy lehetővé teszik az Azure Data Factoryhez való privát kapcsolatot anélkül, hogy nyilvános IP-címekre kellene szükség a forrásban vagy a célhelyen. További információ az Azure Data Factory privát végpontjairól és DNS-zónáiról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát végpontok konfigurálása adat-előállítókhoz | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít az Azure Data Factoryhez, csökkentheti az adatszivárgási kockázatokat. További információ: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure Data Factoryben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy az Azure Data Factory csak privát végpontról érhető el. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Factory SQL Server Integration Services-integrációs moduljait virtuális hálózathoz kell csatlakoztatni | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít az SQL Server Integration Services-integrációs futtatókörnyezetekhez az Azure Data Factoryben, valamint alhálózatokat, hozzáférés-vezérlési szabályzatokat és egyéb funkciókat a hozzáférés további korlátozásához. | Naplózás, megtagadás, letiltva | 2.3.0 |
Data Lake
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Titkosítás megkövetelése a Data Lake Store-fiókokon | Ez a szabályzat biztosítja, hogy a titkosítás minden Data Lake Store-fiókon engedélyezve legyen | elutasítás | 1.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Asztali virtualizálás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Virtual Desktop gazdagépkészleteinek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, és gondoskodik az adatok biztonságáról azáltal, hogy biztosítja, hogy az Azure Virtual Desktop szolgáltatáshoz való hozzáférés ne legyen elérhető a nyilvános interneten. További információ: https://aka.ms/avdprivatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Virtual Desktop-gazdagépek csak munkamenet-gazdagépeken tilthatják le a nyilvános hálózati hozzáférést | Az Azure Virtual Desktop gazdagépek munkamenet-gazdagépei nyilvános hálózati hozzáférésének letiltása, de a nyilvános hozzáférés engedélyezése a végfelhasználók számára a nyilvános internetnek való kitettség korlátozásával javítja a biztonságot. További információ: https://aka.ms/avdprivatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Virtual Desktop szolgáltatásnak privát hivatkozást kell használnia | Az Azure Private Link és az Azure Virtual Desktop-erőforrások használata javíthatja a biztonságot és biztonságban tarthatja az adatokat. További információ a privát hivatkozásokról: https://aka.ms/avdprivatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Virtual Desktop-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | Az Azure Virtual Desktop-munkaterület erőforrásának nyilvános hálózati hozzáférésének letiltása megakadályozza, hogy a hírcsatorna elérhető legyen a nyilvános interneten keresztül. A magánhálózati hozzáférés engedélyezése javítja a biztonságot és az adatok biztonságát. További információ: https://aka.ms/avdprivatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Virtual Desktop gazdagépkészlet-erőforrásainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Virtual Desktop-erőforrások feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Virtual Desktop gazdagépkészleteinek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a munkamenet-gazdagépek és végfelhasználók nyilvános hálózati hozzáférését az Azure Virtual Desktop gazdagépkészlet-erőforrásán, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez javítja a biztonságot, és biztonságban tartja az adatokat. További információ: https://aka.ms/avdprivatelink. | Módosítás, letiltva | 1.0.0 |
| Az Azure Virtual Desktop gazdagépkészleteinek konfigurálása a nyilvános hálózati hozzáférés letiltására csak munkamenet-gazdagépek esetén | Tiltsa le az Azure Virtual Desktop gazdagépek munkamenet-gazdagépeinek nyilvános hálózati hozzáférését, de engedélyezze a nyilvános hozzáférést a végfelhasználók számára. Ez lehetővé teszi a felhasználók számára, hogy továbbra is hozzáférjenek az AVD szolgáltatáshoz, miközben biztosítják, hogy a munkamenet-gazdagép csak privát útvonalakon keresztül legyen elérhető. További információ: https://aka.ms/avdprivatelink. | Módosítás, letiltva | 1.0.0 |
| Azure Virtual Desktop-gazdagépkészletek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Virtual Desktop-erőforrásokhoz való leképezésével javíthatja a biztonságot, és biztonságban tarthatja az adatokat. További információ: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Virtual Desktop-munkaterület erőforrásainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Virtual Desktop-erőforrások feloldása érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Virtual Desktop-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az Azure Virtual Desktop-munkaterület erőforrásához, hogy a hírcsatorna ne legyen elérhető a nyilvános interneten keresztül. Ez javítja a biztonságot, és biztonságban tartja az adatokat. További információ: https://aka.ms/avdprivatelink. | Módosítás, letiltva | 1.0.0 |
| Azure Virtual Desktop-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Virtual Desktop-erőforrásokhoz való leképezésével javíthatja a biztonságot, és biztonságban tarthatja az adatokat. További információ: https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A Microsoft Dev Box-készletek nem használhatják a Microsoft Által üzemeltetett hálózatokat. | Letiltja a Microsoft Hosted Networks használatát készleterőforrások létrehozásakor. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
ElasticSan
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az ElasticSannek le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le az ElasticSan nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az ElasticSan kötetcsoportnak ügyfél által felügyelt kulcsokkal kell titkosítania az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a VolumeGroup többi részén. Alapértelmezés szerint az ügyféladatok platform által felügyelt kulcsokkal vannak titkosítva, de a CMK-k általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal, teljes körű vezérléssel és felelősséggel, beleértve a rotációt és a felügyeletet is. | Naplózás, letiltva | 1.0.0 |
| Az ElasticSan kötetcsoportnak privát végpontokat kell használnia | A privát végpontokkal a rendszergazda virtuális hálózatokat csatlakoztathat az Azure-szolgáltatásokhoz nyilvános IP-cím nélkül a forrásban vagy a célhelyen. A privát végpontok kötetcsoportra való leképezésével a rendszergazda csökkentheti az adatszivárgási kockázatokat | Naplózás, letiltva | 1.0.0 |
Event Grid
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Event Grid-tartományoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://aka.ms/privateendpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid-tartományokban le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Event Grid-tartományok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid névtér MQTT-közvetítőjének privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-névtérhez, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/aeg-ns-privateendpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Event Grid névtértémakter-közvetítőjének privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-névtérhez, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/aeg-ns-privateendpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Event Grid-névtereknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://aka.ms/aeg-ns-privateendpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid partnernévtereinek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Event Grid-partnernévterek kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid-témaköröknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://aka.ms/privateendpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid-témakörökben le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Event Grid-témakörök kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Azure Event Grid-tartományok konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Event Grid-tartományok kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Módosítás, letiltva | 1.0.0 |
| Azure Event Grid-névtér MQTT-közvetítő konfigurálása privát végpontokkal | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok erőforrásokhoz való leképezésével védve lesznek az adatszivárgási kockázatokkal szemben. További információ: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-névterek konfigurálása privát végpontokkal | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok erőforrásokhoz való leképezésével védve lesznek az adatszivárgási kockázatokkal szemben. További információ: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Event Grid-partnernévterek konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Event Grid-partnernévterek kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Módosítás, letiltva | 1.0.0 |
| Az Azure Event Grid-témakörök konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Event Grid-témakörök kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/aeg-disablelocalauth. | Módosítás, letiltva | 1.0.0 |
| Üzembe helyezés – Azure Event Grid-tartományok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. További információ: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Üzembe helyezés – Azure Event Grid-tartományok konfigurálása privát végpontokkal | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok erőforrásokhoz való leképezésével védve lesznek az adatszivárgási kockázatokkal szemben. További információ: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Azure Event Grid-témakörök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. További információ: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Üzembe helyezés – Azure Event Grid-témakörök konfigurálása privát végpontokkal | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok erőforrásokhoz való leképezésével védve lesznek az adatszivárgási kockázatokkal szemben. További információ: https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Módosítás – Azure Event Grid-tartományok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Event Grid-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez segít megvédeni őket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások expozícióját. További információ: https://aka.ms/privateendpoints. | Módosítás, letiltva | 1.0.0 |
| Módosítás – Az Azure Event Grid-témakörök konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Event Grid-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez segít megvédeni őket az adatszivárgási kockázatokkal szemben. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások expozícióját. További információ: https://aka.ms/privateendpoints. | Módosítás, letiltva | 1.0.0 |
Esemény központja
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A RootManageSharedAccessKey kivételével minden engedélyezési szabályt el kell távolítani az Event Hub névteréből | Az Event Hub-ügyfelek nem használhatnak névtérszintű hozzáférési szabályzatot, amely hozzáférést biztosít a névtér összes üzenetsorához és témaköréhez. A legkevésbé jogosultsági biztonsági modellhez igazodva az üzenetsorok és témakörök entitásszinten kell létrehoznia hozzáférési szabályzatokat, hogy csak az adott entitáshoz legyen hozzáférése | Naplózás, megtagadás, letiltva | 1.0.1 |
| Meg kell határozni az Event Hub-példány engedélyezési szabályait | Engedélyezési szabályok meglétének naplózása Event Hub-entitásokon a legkevésbé kiemelt hozzáférés biztosítása érdekében | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Hub névtereinek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure Event Hub-névterek kizárólag Microsoft Entra ID-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/disablelocalauth-eh. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Azure Event Hub-névterek konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Event Hub-névterek kizárólag Microsoft Entra-azonosítójú identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/disablelocalauth-eh. | Módosítás, letiltva | 1.0.1 |
| Event Hub-névterek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Event Hub-névterek feloldásához. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Event Hub-névterek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Event Hub-névterekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek le kell tiltania a nyilvános hálózati hozzáférést | Az Azure Event Hub nyilvános hálózati hozzáférését le kell tiltani. A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Event Hub-névtereknek engedélyezniük kell a kettős titkosítást | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Event Hub-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Event Hubs támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi az Event Hub által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy az Event Hub csak a dedikált fürtök névtereinek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Fluid Relay
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Fluid Relaynek ügyfél által felügyelt kulcsokat kell használnia az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a Fluid Relay-kiszolgáló többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de a cmK-k általában szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal, teljes körű vezérléssel és felelősséggel, beleértve a rotációt és a felügyeletet is. További információ: https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Naplózás, letiltva | 1.0.0 |
Általános
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezett helyek | Ezzel a szabályzattal korlátozható azon helyek köre, amelyeket a szervezet megadhat az erőforrások üzembe helyezésekor. A földrajzi megfelelőségi követelmények betartására szolgál. Kizárja az erőforráscsoportokat, a Microsoft.AzureActiveDirectory/b2cDirectories és a "globális" régiót használó erőforrásokat. | elutasítás | 1.0.0 |
| Erőforráscsoportok engedélyezett helyei | Ez a szabályzat lehetővé teszi, hogy korlátozza a szervezet által létrehozható erőforráscsoportokat. A földrajzi megfelelőségi követelmények betartására szolgál. | elutasítás | 1.0.0 |
| Engedélyezett erőforrástípusok | Ez a szabályzat lehetővé teszi a szervezet által üzembe helyezhető erőforrástípusok megadását. Ez a szabályzat csak a címkéket és a helyet támogató erőforrástípusokat érinti. Az összes erőforrás korlátozásához duplikálja ezt a házirendet, és módosítsa a "mód" beállítást "All" (Összes) módra. | elutasítás | 1.0.0 |
| Az erőforrás helyének naplózása az erőforráscsoport helyének felel meg | Annak naplózása, hogy az erőforrás helye egyezik-e az erőforráscsoport helyével | naplózás | 2.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Előfizetések konfigurálása előzetes verziójú funkciók beállításához | Ez a szabályzat kiértékeli a meglévő előfizetés előzetes verziójú funkcióit. Az előfizetések szervizelhetők, hogy regisztráljanak egy új előzetes verziójú szolgáltatásra. Az új előfizetések nem lesznek automatikusan regisztrálva. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Az erőforrástípusok törlésének tiltása | Ez a szabályzat lehetővé teszi, hogy megadhatja azokat az erőforrástípusokat, amelyeket a szervezet védelmet nyújthat a véletlen törlés ellen, ha letiltja a törlési hívásokat a megtagadási művelet hatásával. | DenyAction, Letiltva | 1.0.1 |
| M365-erőforrások engedélyezése | M365-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| MCPP-erőforrások engedélyezése | MCPP-erőforrások létrehozásának letiltása. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Használati költségekkel kapcsolatos erőforrások kizárása | Ez a szabályzat lehetővé teszi a használati költségek erőforrásainak kimagosítását. A használati költségek közé tartoznak például a forgalmi díjas tárterület és a használat alapján számlázott Azure-erőforrások. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Nem engedélyezett erőforrástípusok | Korlátozza, hogy mely erőforrástípusok helyezhetők üzembe a környezetben. Az erőforrástípusok korlátozása csökkentheti a környezet összetettségét és támadási felületét, miközben segít a költségek kezelésében is. A megfelelőségi eredmények csak a nem megfelelő erőforrások esetében jelennek meg. | Naplózás, megtagadás, letiltva | 2.0.0 |
Vendégkonfiguráció
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Felhasználó által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések virtuális gépeken való engedélyezéséhez | Ez a szabályzat egy felhasználó által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat. A felhasználó által hozzárendelt felügyelt identitás előfeltétele az összes vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Konfigurálja a Windows Servert a helyi felhasználók letiltására. | Létrehoz egy vendégkonfigurációs hozzárendelést a helyi felhasználók letiltásának konfigurálásához a Windows Serveren. Ez biztosítja, hogy a Windows-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által explicit módon engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A kiterjesztett biztonsági Frissítések Windows Server 2012 Arc rendszerű gépekre kell telepíteni. | A Windows Server 2012 Arc-gépeknek telepíteniük kell a Microsoft által kiadott kiterjesztett biztonsági Frissítések. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. Részletekért látogasson el a https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük a Docker-gazdagépek Azure-beli biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gép nincs megfelelően konfigurálva a Docker-gazdagépekhez készült Azure biztonsági alapkonfiguráció egyik javaslatához. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Linux-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményének | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményének egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: Az OMI-vel rendelkező Linux-gépeken az 1.6.8-1-es vagy újabb verziónak kell lennie | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A Linuxhoz készült OMI-csomag 1.6.8-1-es verziójában található biztonsági javítás miatt minden gépet frissíteni kell a legújabb kiadásra. Frissítse az OMI-t használó alkalmazásokat/csomagokat a probléma megoldásához. További információ: https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| [Előzetes verzió]: A Nexus számítási gépeknek meg kell felelniük a biztonsági alapkonfigurációnak | Az Azure Policy vendégkonfigurációs ügynökét használja a naplózáshoz. Ez a szabályzat biztosítja, hogy a gépek betartsák a Nexus számítási biztonsági alapkonfigurációját, beleértve a különböző javaslatokat, amelyek a gépek biztonsági rések és nem biztonságos konfigurációk széles körének (csak Linux) védelmére szolgálnak. | AuditIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Windows-gépeknek meg kell felelniük az Azure Compute STIG megfelelőségi követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure Compute STIG megfelelőségi követelményeinek egyik javaslatához. A DISA (Defense Information Systems Agency) műszaki útmutatókat biztosít az STIG (Security Technical Implementation Guide) szolgáltatáshoz a számítási operációs rendszer védelméhez a Védelmi Minisztérium (DoD) által előírtak szerint. További részletek: https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal nem rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag nincs telepítve. | AuditIfNotExists, Disabled | 4.2.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| A megadott alkalmazásokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Chef InSpec erőforrás azt jelzi, hogy a paraméter által biztosított egy vagy több csomag telepítve van. | AuditIfNotExists, Disabled | 4.2.0 |
| Az Rendszergazda istrators csoport egyik megadott tagját hiányzó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazda istrators csoport nem tartalmaz egy vagy több olyan tagot, amely szerepel a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek hálózati kapcsolatának naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy IP- és TCP-port hálózati kapcsolati állapota nem egyezik meg a házirend paraméterével. | auditIfNotExists | 2.0.0 |
| Windows rendszerű gépek naplózása, amelyeken a DSC-konfiguráció nem megfelelő | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-DSCConfigurationStatus Windows PowerShell-parancs azt adja vissza, hogy a gép DSC-konfigurációja nem megfelelő. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Log Analytics-ügynök nem a várt módon csatlakozik | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az ügynök nincs telepítve, vagy ha telepítve van, de a COM-objektum, az AgentConfigManager.MgmtSvcCfg visszaadja, hogy a rendszer a szabályzatparaméterben megadott azonosítótól eltérő munkaterületen van regisztrálva. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a megadott szolgáltatások nincsenek telepítve, és "Fut" | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Get-Service Windows PowerShell-parancs eredménye nem tartalmazza a szabályzatparaméter által megadott megfelelő állapotú szolgáltatásnevet. | auditIfNotExists | 3.0.0 |
| Olyan Windows-gépek naplózása, amelyeken a Windows soros konzol nincs engedélyezve | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gépre nincs telepítve a Soros konzol szoftvere, vagy ha az EMS-portszám vagy átviteli sebesség nincs a szabályzat paramétereivel megegyező értékekkel konfigurálva. | auditIfNotExists | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott tartományhoz nem csatlakoztatott Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály tartománytulajdonsága win32_computersystem értéke nem egyezik meg a szabályzatparaméter értékével. | auditIfNotExists | 2.0.0 |
| A megadott időzónára nem beállított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI-osztály StandardName tulajdonságának értéke Win32_TimeZone nem egyezik meg a szabályzatparaméterhez kiválasztott időzónával. | auditIfNotExists | 3.0.0 |
| A megadott számú napon belül lejáró tanúsítványokat tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megadott tárolóban lévő tanúsítványok lejárati dátuma túllépi a paraméterként megadott napok számát. A szabályzat azt is lehetővé teszi, hogy csak adott tanúsítványokat keressen, vagy kizárjon bizonyos tanúsítványokat, és hogy a lejárt tanúsítványokról szeretne-e jelentést tenni. | auditIfNotExists | 2.0.0 |
| Olyan Windows-gépek naplózása, amelyek nem tartalmazzák a megadott tanúsítványokat a megbízható gyökérkönyvtárban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a megbízható főtanúsítvány-tároló (Cert:\LocalMachine\Root) nem tartalmaz a házirendparaméter által felsorolt tanúsítványok közül egy vagy több tanúsítványt. | auditIfNotExists | 3.0.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditIfNotExists, Disabled | 2.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott Windows PowerShell végrehajtási szabályzattal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows PowerShell Get-ExecutionPolicy parancsa a szabályzatparaméterben kiválasztotttól eltérő értéket ad vissza. | AuditIfNotExists, Disabled | 3.0.0 |
| A megadott Windows PowerShell-modulokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha egy modul nem érhető el a PSModulePath környezeti változó által megadott helyen. | AuditIfNotExists, Disabled | 3.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 2.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A megadott alkalmazásokkal nem rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve nem található a következő beállításjegyzék-elérési utak egyikében sem: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| További fiókokkal rendelkező Windows-gépek naplózása a Rendszergazda istrators csoportban | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazda istrators csoport olyan tagokat tartalmaz, amelyek nem szerepelnek a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| A megadott számú napon belül nem újraindított Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a WMI LastBootUpTime tulajdonsága az Win32_Operatingsystem osztályban kívül esik a szabályzatparaméter által megadott napok tartományán. | auditIfNotExists | 2.0.0 |
| A megadott alkalmazásokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha az alkalmazás neve a következő beállításjegyzék-elérési utak valamelyikében található: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Az Rendszergazda istrators csoportban megadott tagokkal rendelkező Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a helyi Rendszergazda istrators csoport egy vagy több tagot tartalmaz a szabályzatparaméterben. | auditIfNotExists | 2.0.0 |
| Windows rendszerű virtuális gépek naplózása függőben lévő újraindítással | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép az alábbi okok bármelyike miatt újraindításra vár: összetevőalapú karbantartás, Windows Update, függőben lévő fájl átnevezése, függőben lévő számítógép átnevezése, konfigurációkezelő újraindításra vár. Minden észlelésnek egyedi beállításjegyzék-elérési útja van. | auditIfNotExists | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Konfigurálja a Linux Servert a helyi felhasználók letiltásához. | Létrehoz egy vendégkonfigurációs hozzárendelést, amely konfigurálja a helyi felhasználók letiltását a Linux Serveren. Ez biztosítja, hogy a Linux-kiszolgálókhoz csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája férhessen hozzá, ezáltal javítva az általános biztonsági helyzetet. | DeployIfNotExists, Disabled | 1.3.0-előzetes verzió |
| Biztonságos kommunikációs protokollok (TLS 1.1 vagy TLS 1.2) konfigurálása Windows rendszerű gépeken | Létrehoz egy vendégkonfigurációs hozzárendelést a megadott biztonságos protokollverzió (TLS 1.1 vagy TLS 1.2) windowsos gépen való konfigurálásához. | DeployIfNotExists, Disabled | 1.0.1 |
| Időzóna konfigurálása Windows rendszerű gépeken. | Ez a szabályzat létrehoz egy vendégkonfigurációs hozzárendelést a megadott időzóna beállításához Windows rendszerű virtuális gépeken. | deployIfNotExists | 2.1.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Linux rendszerű gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Linux-kiszolgálón. | AuditIfNotExists, Disabled | 1.1.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű gépeknek csak olyan helyi fiókokkal kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.2.0 |
| A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| A helyi hitelesítési módszereket le kell tiltani Linux rendszerű gépeken | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Linux-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Linux-kiszolgálók csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája által érhetők-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.2.0-előzetes verzió |
| A helyi hitelesítési módszereket le kell tiltani Windows-kiszolgálókon | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a Windows-kiszolgálók nem tiltják le a helyi hitelesítési módszereket. Ennek célja annak ellenőrzése, hogy a Windows Servereket csak AAD-fiók (Azure Active Directory) fiók vagy a szabályzat által kifejezetten engedélyezett felhasználók listája érheti-e el, ezáltal javítva az általános biztonsági helyzetet. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Engedélyezni kell a vendégkonfigurációs hozzárendelések privát végpontjait | A privát végpontkapcsolatok a virtuális gépek vendégkonfigurációhoz való privát kapcsolatának engedélyezésével kényszerítik ki a biztonságos kommunikációt. A virtuális gépek nem lesznek kompatibilisek, hacsak nem rendelkeznek az "EnablePrivateNetworkGC" címkével. Ez a címke a virtuális gépek vendégkonfigurációja felé irányuló privát kapcsolaton keresztül kényszeríti ki a biztonságos kommunikációt. A privát kapcsolat korlátozza a csak ismert hálózatokból érkező forgalomhoz való hozzáférést, és megakadályozza a hozzáférést az összes többi IP-címről, beleértve az Azure-t is. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
| A Windows-gépeknek egy napon belül konfigurálnia kell a Windows Defendert a védelmi aláírások frissítésére | Az újonnan kiadott kártevők elleni megfelelő védelem érdekében a Windows Defender védelmi aláírásait rendszeresen frissíteni kell, hogy figyelembe lehessen venni az újonnan kiadott kártevőket. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows-gépeknek engedélyeznie kell a Windows Defender valós idejű védelmét | A Windows-gépeknek engedélyeznie kell a Valós idejű védelmet a Windows Defenderben, hogy megfelelő védelmet nyújtsanak az újonnan kiadott kártevők ellen. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows-gépeken telepítve kell lennie a Log Analytics-ügynöknek az Azure Arcon | A gépek nem megfelelőek, ha a Log Analytics-ügynök nincs telepítve az Azure Arc-kompatibilis Windows Serverre. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows-gépeknek meg kell felelniük a "Rendszergazda istrative Templates – Vezérlőpult" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszergazda istrative Templates – Vezérlőpult" kategóriában a bemenet személyre szabása és a zárolási képernyők engedélyezésének megakadályozása érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük az "Rendszergazda istrative Templates – MSS (Legacy)" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszergazda istrative Templates – MSS (Legacy)" kategóriában az automatikus bejelentkezéshez, a képernyőkímélőhöz, a hálózati viselkedéshez, a biztonságos DLL-hez és az eseménynaplóhoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszergazda istrative Templates – Network" követelményeknek | A Windows rendszerű gépeken a "Rendszergazda istrative Templates – Network" (Rendszergazda istrative Templates – Network) kategóriában megadott csoportházirend-beállításoknak kell rendelkezniük a vendég bejelentkezésekhez, az egyidejű kapcsolatokhoz, a hálózati hídhoz, az ICS-hez és a csoportos küldési névfeloldáshoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a "Rendszergazda istrative Templates – System" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszergazda istrative Templates – System" kategóriában a rendszergazdai felületet és a távsegítséget vezérlő beállításokhoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Fiókok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Fiókok" kategóriában az üres jelszavak és a vendégfiókok állapotának helyi fiókhasználatának korlátozásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Naplózás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Naplózás" kategóriában a naplózási szabályzat alkategóriájának kényszerítéséhez, és le kell állítani, ha nem lehet naplózni a biztonsági auditokat. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Eszközök" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Eszközök" kategóriában a bejelentkezés nélküli lekivételhez, a nyomtatóillesztők telepítéséhez, valamint a média formázásához/kibocsátásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Interaktív bejelentkezés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Interaktív bejelentkezés" kategóriában a vezetéknév megjelenítéséhez és a ctrl-alt-del billentyűkombináció megkövetelése érdekében. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Hálózati ügyfél" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Hálózati ügyfél" kategóriában a Microsoft hálózati ügyfélhez/kiszolgálóhoz és az SMB v1-hez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Microsoft Network Server" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Microsoft Network Server" kategóriában az SMB v1-kiszolgáló letiltására. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati hozzáférés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati hozzáférés" kategóriában, beleértve a névtelen felhasználók hozzáférését, a helyi fiókokat és a beállításjegyzékhez való távoli hozzáférést. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Hálózati biztonság" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Hálózati biztonság" kategóriában, beleértve a helyi rendszer viselkedését, a PKU2U-t, a LAN Managert, az LDAP-ügyfelet és az NTLM SSP-t. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Helyreállítási konzol" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Helyreállítási konzol" kategóriában, hogy engedélyezve legyen a hajlékonylemez-másolás és a hozzáférés az összes meghajtóhoz és mappához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Leállítás" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Leállítás" kategóriában a bejelentkezés nélküli leállítás engedélyezéséhez és a virtuális memória lapfájljának törléséhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerobjektumok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Rendszerobjektumok" kategóriában a nem Windows-alrendszerek és a belső rendszerobjektumok engedélyeinek érzéketlensége esetén. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Rendszerbeállítások" követelményeknek | A Windows rendszerű gépeken a "Biztonsági beállítások – Rendszerbeállítások" kategóriában meg kell adni a megadott csoportházirend-beállításokat az SRP-hez és az opcionális alrendszerekhez tartozó végrehajtható tanúsítványokra vonatkozó szabályokhoz. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági beállítások – Felhasználói fiókok felügyelete" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági beállítások – Felhasználói fiók vezérlése" kategóriában a rendszergazdák üzemmódjához, a jogosultságszint-emelési kérés viselkedéséhez, valamint a fájl- és beállításjegyzék írási hibáinak virtualizálásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Biztonsági Gépház – Fiókszabályzatok" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Biztonsági Gépház – Fiókszabályzatok" kategóriában a jelszóelőzmények, az életkor, a hossz, az összetettség és a jelszavak reverzibilis titkosítással történő tárolásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fióknaplózás" követelményeinek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "System Audit Policies – Account Logon" (Rendszernaplózási szabályzatok – Fióknaplózás) kategóriában a hitelesítő adatok ellenőrzésének és egyéb fiókbejegyzési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Fiókkezelés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Fiókkezelés" kategóriában az alkalmazás, a biztonság és a felhasználói csoportkezelés, valamint egyéb felügyeleti események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Részletes nyomon követés" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a DPAPI, a folyamatlétrehozás/-megszüntetés, az RPC-események és a PNP-tevékenységek naplózásához a "Rendszernaplózási szabályzatok – Részletes nyomon követés" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Logon-Logoff" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Logon-Logoff" kategóriában az IPSec, a hálózati házirend, a jogcímek, a fiókzárolás, a csoporttagság és a bejelentkezési/kijelentkezési események naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Objektumhozzáférés" követelményeknek | A Windows rendszerű gépeken a megadott csoportházirend-beállításoknak a fájl, a beállításjegyzék, a SAM, a tárolás, a szűrés, a kernel és más rendszertípusok naplózásához a "Rendszernaplózási szabályzatok – Objektumhozzáférés" kategóriában kell rendelkezniük. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" követelményeknek | A Windows rendszerű gépeken a rendszernaplózási szabályzatok változásainak naplózásához a megadott csoportházirend-beállításoknak kell rendelkezniük a "Rendszernaplózási szabályzatok – Szabályzatmódosítás" kategóriában. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszernaplózási szabályzatok – Jogosultsági használat" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Jogosultsági használat" kategóriában a nem érzéketlen és más jogosultsági felhasználás naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a "Rendszervizsgálati szabályzatok – Rendszer" követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Rendszernaplózási szabályzatok – Rendszer" kategóriában az IPsec-illesztőprogram, a rendszerintegritás, a rendszerbővítmény, az állapotváltozás és más rendszeresemények naplózásához. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows rendszerű gépeknek meg kell felelniük a felhasználói jogok hozzárendelésére vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Felhasználói jogok hozzárendelése" kategóriában, hogy engedélyezhessék a helyi bejelentkezést, az RDP-t, a hálózati hozzáférést és sok más felhasználói tevékenységet. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows-összetevőkre vonatkozó követelményeknek | A Windows-gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows-összetevők" kategóriában az alapszintű hitelesítéshez, a titkosítatlan forgalomhoz, a Microsoft-fiókokhoz, a telemetriai adatokhoz, a Cortanához és más Windows-viselkedésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük a Windows tűzfal tulajdonságaira vonatkozó követelményeknek | A Windows rendszerű gépeken meg kell adni a megadott csoportházirend-beállításokat a "Windows tűzfal tulajdonságai" kategóriában a tűzfal állapotához, a kapcsolatokhoz, a szabálykezeléshez és az értesítésekhez. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows rendszerű gépeken csak olyan helyi fiókoknak kell rendelkezniük, amelyek engedélyezettek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. Ez a definíció Windows Server 2012 vagy 2012 R2 rendszeren nem támogatott. A felhasználói fiókok Azure Active Directoryval való kezelése ajánlott eljárás az identitások kezeléséhez. A helyi gépfiókok számának csökkentése segít megelőzni a központi rendszeren kívül felügyelt identitások elterjedését. A gépek nem megfelelőek, ha olyan helyi felhasználói fiókok léteznek, amelyek engedélyezve vannak, és nem szerepelnek a szabályzatparaméterben. | AuditIfNotExists, Disabled | 2.0.0 |
| A Windows-gépeknek minden nap ütemezett vizsgálat elvégzésére kell ütemeznie a Windows Defendert | A kártevők gyors észlelésének és a rendszerre gyakorolt hatás minimalizálásának biztosítása érdekében javasoljuk, hogy a Windows Defenderrel rendelkező Windows-gépek naponta végezhessenek vizsgálatot. Győződjön meg arról, hogy a Windows Defender támogatott, előre telepítve van az eszközön, és a vendégkonfiguráció előfeltételei telepítve vannak. A követelmények teljesítésének elmulasztása pontatlan kiértékelési eredményekhez vezethet. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| A Windows-gépeknek az alapértelmezett NTP-kiszolgálót kell használniuk | Állítsa be a "time.windows.com" alapértelmezett NTP-kiszolgálóként az összes Windows-géphez, hogy az összes rendszer naplóinak szinkronizált rendszerórái legyenek. Ez a szabályzat megköveteli, hogy a vendégkonfiguráció előfeltételei a szabályzat-hozzárendelés hatókörébe lettek helyezve. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| A Windows rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. | Bár a virtuális gép operációs rendszere és adatlemezei alapértelmezés szerint inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; az erőforráslemezek (ideiglenes lemezek), az adatgyorsítótárak és a számítási és tárolási erőforrások közötti adatfolyamok nincsenek titkosítva. Az Azure Disk Encryption vagy a EncryptionAtHost használatával szervizelhet. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ez a szabályzat két előfeltételt igényel a szabályzat-hozzárendelés hatókörében való üzembe helyezéshez. A részletekért látogasson el ide https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure HDInsight-fürtöket virtuális hálózatba kell injektálni | Az Azure HDInsight-fürtök virtuális hálózatba történő injektálásával a HDInsight fejlett hálózati és biztonsági funkcióit oldhatja fel, és szabályozhatja a hálózati biztonsági konfigurációt. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure HDInsight-fürtöknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure HDInsight-fürtök többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/hdi.cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure HDInsight-fürtöknek titkosítást kell használniuk a gazdagépen az inaktív adatok titkosításához | A gazdagépen történő titkosítás engedélyezése segít megvédeni és védeni az adatokat, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához | Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure HDInsightnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure HDInsight-fürtökre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure HDInsight-fürtök konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure HDInsight-fürtökhöz való feloldás érdekében. További információ: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure HDInsight-fürtök konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure HDInsight-fürtökre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Health-robotoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsok (CMK) használatával kezelheti a titkosítást az állapotrobotok többi adatánál. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de a CMK-ra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK lehetővé teszi az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://docs.microsoft.com/azure/health-bot/cmk | Naplózás, letiltva | 1.0.0 |
Health Data Services-munkaterület
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Health Data Services-munkaterületnek privát hivatkozást kell használnia | A Health Data Services-munkaterületnek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/healthcareapisprivatelink. | Naplózás, letiltva | 1.0.0 |
Egészségügyi API-k
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A CORS nem engedélyezheti minden tartomány számára az FHIR szolgáltatás elérését | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az FHIR szolgáltatás elérését. Az FHIR szolgáltatás védelme érdekében távolítsa el az összes tartományhoz való hozzáférést, és explicit módon határozza meg a csatlakozáshoz engedélyezett tartományokat. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| A DICOM szolgáltatásnak egy ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az ügyfél által felügyelt kulccsal szabályozhatja az Azure Health Data Services DICOM szolgáltatásban tárolt többi adat titkosítását, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. | Naplózás, letiltva | 1.0.0 |
| Az FHIR szolgáltatásnak egy ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az ügyfél által kezelt kulccsal szabályozhatja az Azure Health Data Services FHIR szolgáltatásban tárolt többi adat titkosítását, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. | Naplózás, letiltva | 1.0.0 |
Eszközök internetes hálózata
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure IoT Hubnak ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az IoT Hub inaktív adatainak ügyfél által felügyelt kulccsal történő titkosítása egy második titkosítási réteget ad hozzá az alapértelmezett szolgáltatás által felügyelt kulcsokhoz, lehetővé teszi a kulcsok ügyfél általi vezérlését, az egyéni rotációs szabályzatokat, valamint az adatokhoz való hozzáférést a kulcshozzáférés-vezérlésen keresztül. Az ügyfél által felügyelt kulcsokat az IoT Hub létrehozásakor kell konfigurálni. További információ az ügyfél által felügyelt kulcsok konfigurálásáról: https://aka.ms/iotcmk. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani | Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Device Update-fiókoknak ügyfél által felügyelt kulccsal kell titkosítaniuk az inaktív adatokat | Az Azure Device Update inaktív adatainak ügyfél által felügyelt kulccsal történő titkosítása egy második titkosítási réteget ad hozzá az alapértelmezett szolgáltatás által felügyelt kulcsokhoz, lehetővé teszi a kulcsok ügyfél általi vezérlését, az egyéni rotációs szabályzatokat, valamint az adatokhoz való hozzáférés kezelését a kulcshozzáférés-vezérlésen keresztül. További információ:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Device Update for IoT Hub-fiókoknak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-fiókok Azure Device Update-hez való leképezésével csökken az adatszivárgás kockázata. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure IoT Hubnak le kell tiltani a helyi hitelesítési módszereket a Service Apisban | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub kizárólag Azure Active Directory-identitásokat igényel a Service Api-hitelesítéshez. További információ: https://aka.ms/iothubdisablelocalauth. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Device Update konfigurálása IoT Hub-fiókokhoz a nyilvános hálózati hozzáférés letiltásához | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy az IoT Hub eszközfrissítése csak privát végpontról érhető el. Ez a szabályzat letiltja a nyilvános hálózati hozzáférést az IoT Hub-erőforrások eszközfrissítésén. | Módosítás, letiltva | 1.0.0 |
| Azure Device Update konfigurálása IoT Hub-fiókokhoz privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat egy privát DNS-zónát helyez üzembe az IoT Hub privát végpontjaihoz készült eszközfrissítéshez. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Device Update konfigurálása IoT Hub-fiókokhoz privát végponttal | A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. Ez a szabályzat egy privát végpontot helyez üzembe az IoT Hub eszközfrissítéséhez, amely lehetővé teszi, hogy a virtuális hálózaton belüli szolgáltatások elérjék ezt az erőforrást anélkül, hogy a forgalmat az IoT Hub nyilvános végpontjához tartozó eszközfrissítésbe kellene küldeni. | DeployIfNotExists, Disabled | 1.1.0 |
| Az Azure IoT Hub konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure IoT Hub kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/iothubdisablelocalauth. | Módosítás, letiltva | 1.0.0 |
| Az IoT Hub eszközkiépítési példányainak konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz, hogy feloldhassa az IoT Hub eszközkiépítési szolgáltatáspéldányát. További információ: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az IoT Hub eszközkiépítési példányához, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/iotdpsvnet. | Módosítás, letiltva | 1.0.0 |
| IoT Hub-eszközkiépítési szolgáltatáspéldányok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az Azure IoT Hubs konfigurálása privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat privát DNS-zónát helyez üzembe az IoT Hub privát végpontjaihoz. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Üzembe helyezés – Az Azure IoT Hubs konfigurálása privát végpontokkal | A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. Ez a szabályzat egy privát végpontot helyez üzembe az IoT Hub számára, amely lehetővé teszi, hogy a virtuális hálózaton belüli szolgáltatások elérjék az IoT Hubot anélkül, hogy a forgalmat az IoT Hub nyilvános végpontjára kellene küldeni. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az IoT Central konfigurálása privát DNS-zónák használatára | Az Azure saját DNS megbízható, biztonságos DNS-szolgáltatást biztosít a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Privát DNS-zónákkal felülbírálhatja a DNS-feloldást saját egyéni tartománynevekkel egy privát végponthoz. Ez a szabályzat egy privát DNS-zónát helyez üzembe az IoT Central privát végpontjaihoz. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az IoT Central konfigurálása privát végpontokkal | A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. Ez a szabályzat egy privát végpontot helyez üzembe az IoT Central számára, amely lehetővé teszi, hogy a virtuális hálózaton belüli szolgáltatások elérjék az IoT Centralt anélkül, hogy a forgalmat az IoT Central nyilvános végpontjára kellene küldeni. | DeployIfNotExists, Disabled | 1.0.0 |
| Az IoT Centralnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az IoT Central-alkalmazáshoz, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/iotcentral-network-security-using-pe. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az IoT Hub eszközkiépítési szolgáltatáspéldánya nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az IoT Hub eszközkiépítési példányainak kitettségét. További információ: https://aka.ms/iotdpsvnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Módosítás – Az Azure IoT Hubs konfigurálása a nyilvános hálózati hozzáférés letiltásához | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub csak privát végpontról érhető el. Ez a szabályzat letiltja a nyilvános hálózati hozzáférést az IoT Hub-erőforrásokon. | Módosítás, letiltva | 1.0.0 |
| Módosítás – Az IoT Central konfigurálása a nyilvános hálózati hozzáférés letiltásához | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az IoT Central csak privát végpontról érhető el. Ez a szabályzat letiltja a nyilvános hálózati hozzáférést az IoT Hub-erőforrásokon. | Módosítás, letiltva | 1.0.0 |
| A privát végpontot engedélyezni kell az IoT Hubhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az IoT Hubhoz való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az Azure Device Update for IoT Hub-fiókok nyilvános hálózati hozzáférését | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az IoT Hub-fiókok azure-eszközfrissítése csak privát végpontról érhető el. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure IoT Hubon | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure IoT Hub csak privát végpontról érhető el. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az IoT Central nyilvános hálózati hozzáférését le kell tiltani | Az IoT Central biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/iotcentral-restrict-public-accessleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-kulcsoknak lejárati dátummal kell rendelkezniük | Ha előzetes verzióban szeretné használni ezt a szabályzatot, először kövesse az alábbi utasításokat: .a0> A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-kulcsoknak a lejárat előtt a megadottnál több nappal kell rendelkezniük | Ha előzetes verzióban szeretné használni ezt a szabályzatot, először kövesse az alábbi utasításokat: .a0> Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő legyen a hibákra való reagálásra. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által kezelt HSM-kulcsoknak háromliptikus görbe titkosításával kell rendelkezniük a megadott görbenevekkel | Ha előzetes verzióban szeretné használni ezt a szabályzatot, először kövesse az alábbi utasításokat: .a0> A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault RSA-titkosítást használó felügyelt HSM-kulcsainak meg kell adni a minimális kulcsméretet | Ha előzetes verzióban szeretné használni ezt a szabályzatot, először kövesse az alábbi utasításokat: .a0> Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-nek le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a nyilvános hálózati hozzáférést az Azure Key Vault által felügyelt HSM-hez, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM-nek privát hivatkozást kell használnia | A privát kapcsolat lehetővé teszi az Azure Key Vault által felügyelt HSM azure-erőforrásokhoz való csatlakoztatását anélkül, hogy a forgalmat a nyilvános interneten keresztül küldené el. A privát kapcsolat mélységi védelmet nyújt az adatszivárgás ellen. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tanúsítványokat a megadott, nem integrált hitelesítésszolgáltatók egyikének kell kiállítania | A szervezeti megfelelőségi követelmények kezelése egyéni vagy belső hitelesítésszolgáltatók megadásával, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést az Azure Key Vault által felügyelt HSM-hez, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Módosítás, letiltva | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Key Vault által felügyelt HSM konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Key Vault által felügyelt HSM-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Az Azure Key Vault felügyelt HSM-nek engedélyeznie kell a törlés elleni védelmet | Az Azure Key Vault által felügyelt HSM rosszindulatú törlése állandó adatvesztéshez vezethet. A szervezet rosszindulatú bennfentesei törölhetik és törölhetik az Azure Key Vault által felügyelt HSM-et. A törlés elleni védelem a helyreállíthatóan törölt Azure Key Vault felügyelt HSM kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki nem fogja tudni törölni az Azure Key Vault által felügyelt HSM-et. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Key Vaultnak le kell tiltania a nyilvános hálózati hozzáférést | Tiltsa le a kulcstartó nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/akvprivatelink. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultnak RBAC-engedélymodellt kell használnia | Engedélyezze az RBAC engedélymodellt a Key Vaultokban. További információ: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| A tanúsítványokat a megadott integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adja meg az azure-beli integrált hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban, például a Digicertben vagy a GlobalSignben. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványokat a megadott nem integrált hitelesítésszolgáltatónak kell kiállítania | A szervezeti megfelelőségi követelmények kezeléséhez adjon meg egy egyéni vagy belső hitelesítésszolgáltatókat, amelyek tanúsítványokat állíthatnak ki a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak rendelkezniük kell a megadott élettartam-műveletindítókkal | A szervezeti megfelelőségi követelmények kezeléséhez adja meg, hogy a tanúsítvány élettartam-művelete az élettartam meghatározott százalékában vagy a lejárata előtt bizonyos számú napon aktiválódik-e. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A tanúsítványok nem járnak le a megadott számú napon belül | A megadott számú napon belül lejáró tanúsítványok kezelése annak biztosítása érdekében, hogy a szervezetnek elegendő ideje legyen a tanúsítvány lejárat előtti elforgatására. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.1 |
| A tanúsítványoknak engedélyezett kulcstípusokat kell használniuk | A tanúsítványokhoz engedélyezett kulcstípusok korlátozásával kezelheti a szervezeti megfelelőségi követelményeket. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| A háromliptikus görbe titkosítását használó tanúsítványoknak engedélyezett görbenevekkel kell rendelkezniük | A kulcstartóban tárolt ECC-tanúsítványok engedélyezett háromliptikus görbeneveinek kezelése. További információt a következő címen https://aka.ms/akvpolicytalál: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Az RSA titkosítást használó tanúsítványoknak meg kell adni a minimális kulcsméretet | A szervezeti megfelelőségi követelmények kezelése a kulcstartóban tárolt RSA-tanúsítványok minimális kulcsméretének megadásával. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.1.0 |
| Az Azure Key Vaultok konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz, hogy feloldja a kulcstartót. További információ: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Azure Key Vaultok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Kulcstartók konfigurálása a tűzfal engedélyezéséhez | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Ezután konfigurálhat meghatározott IP-tartományokat a hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Módosítás, letiltva | 1.1.1 |
| Üzembe helyezés – Az Azure Key Vault diagnosztikai beállításainak konfigurálása a Log Analytics-munkaterületre | Üzembe helyezi az Azure Key Vault diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Kulcstartók létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.1 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása event hubra, hogy engedélyezve legyen az Azure Key Vault által felügyelt HSM-en | Üzembe helyezi az Azure Key Vault által felügyelt HSM diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen, amikor a diagnosztikai beállításokat hiányzó Azure Key Vault által felügyelt HSM létrejön vagy frissül. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Key Vaulthoz az Event Hubon | A Key Vault diagnosztikai beállításainak üzembe helyezése egy regionális eseményközpontba való streameléshez, ha a diagnosztikai beállításokat hiányzó Key Vault létrejön vagy frissül. | DeployIfNotExists, Disabled | 3.0.1 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A kulcsokat hardveres biztonsági modulnak (HSM) kell biztonsági másolatot létrehoznia | A HSM egy hardveres biztonsági modul, amely kulcsokat tárol. A HSM fizikai védelmi réteget biztosít a titkosítási kulcsokhoz. A titkosítási kulcs nem hagyhatja el a fizikai HSM-et, amely nagyobb biztonságot nyújt, mint egy szoftverkulcs. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsnak a megadott RSA vagy EC titkosítási típusnak kell lennie | Egyes alkalmazásokhoz egy adott titkosítási típus által támogatott kulcsok használata szükséges. Kényszerítsen ki egy adott titkosítási kulcstípust (RSA vagy EC) a környezetben. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak rotációs szabályzattal kell rendelkezniük, amely biztosítja, hogy a forgatás a létrehozást követő megadott számú napon belül legyen ütemezve. | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcslétrehozás utáni napok maximális számát, amíg el nem kell forgatni. | Naplózás, letiltva | 1.0.0 |
| A kulcsoknak többnek kell lennie a megadott számú napnál a lejárat előtt | Ha egy kulcs túl közel van a lejárathoz, a kulcs elforgatásához szükséges szervezeti késés kimaradáshoz vezethet. A kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő legyen a hibákra való reagálásra. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A kulcsok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Adja meg, hogy egy kulcs hány napig legyen aktív. A hosszabb ideig használt kulcsok növelik annak valószínűségét, hogy egy támadó feltörheti a kulcsot. Jó biztonsági gyakorlatként győződjön meg arról, hogy a kulcsok nem voltak aktívak két évnél tovább. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az elliptikus görbe titkosítását használó kulcsoknak a megadott görbenevekkel kell rendelkezniük | A háromliptikus görbék titkosítása által támogatott kulcsok eltérő görbenevekkel rendelkezhetnek. Egyes alkalmazások csak adott háromliptikus görbekulcsokkal kompatibilisek. Kényszerítse ki azokat a háromliptikus görbekulcsokat, amelyek a környezetben hozhatók létre. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az RSA titkosítást használó kulcsoknak meg kell adni a minimális kulcsméretet | Állítsa be a kulcstartókhoz használható minimálisan engedélyezett kulcsméretet. A kis kulcsméretű RSA-kulcsok használata nem biztonságos eljárás, és nem felel meg számos iparági minősítési követelménynek. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Key Vault felügyelt HSM-ben | A tevékenységnaplók vizsgálati célokra való ismételt létrehozásához biztonsági incidens esetén vagy a hálózat feltörésekor érdemes lehet naplózni az erőforrásnaplók felügyelt HSM-eken való engedélyezésével. Kövesse a következő utasításokat: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A titkos kulcsoknak tartalomtípus-készlettel kell rendelkezniük | A tartalomtípus címkéje segít megállapítani, hogy a titkos kulcs jelszó-e, kapcsolati sztring stb. A különböző titkos kódok eltérő rotációs követelményekkel rendelkeznek. A tartalomtípus címkéjét titkos kódokra kell beállítani. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott számú napnál többnek kell lennie a lejárat előtt | Ha egy titkos kód túl közel van a lejárathoz, a titkos kód forgatásának szervezeti késleltetése kimaradáshoz vezethet. A titkos kulcsokat a lejárat előtt meghatározott számú napon kell elforgatni, hogy elegendő idő adva legyen a hibákra való reagáláshoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a titkos kulcsok érvényességének maximális időtartamát a kulcstartóban. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A titkos kódok nem lehetnek aktívak a megadott számú napnál hosszabb ideig | Ha a titkos kulcsokat a jövőben beállított aktiválási dátummal hozták létre, győződjön meg arról, hogy a titkos kulcsok nem voltak aktívak a megadott időtartamnál hosszabb ideig. | Naplózás, megtagadás, letiltva | 1.0.1 |
Kubernetes
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: [Képintegritás] A Kubernetes-fürtök csak jelöléssel aláírt képeket használhatnak | A jelöléssel aláírt képek használatával győződjön meg arról, hogy a képek megbízható forrásokból származnak, és nem lesznek rosszindulatúan módosítva. További információkért látogasson el a https://aka.ms/aks/image-integrity | Naplózás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: Nem szerkeszthetők az egyes csomópontok | Az egyes csomópontok nem szerkeszthetők. A felhasználók nem szerkeszthetik az egyes csomópontokat. Szerkessze a csomópontkészleteket. Az egyes csomópontok módosítása inkonzisztens beállításokhoz, üzemeltetési kihívásokhoz és potenciális biztonsági kockázatokhoz vezethet. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása Felhőhöz készült Microsoft Defender bővítmény telepítéséhez | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-előzetes verzió |
| [Előzetes verzió]: Képintegritás üzembe helyezése az Azure Kubernetes Service-ben | Az Image Integrity és a Policy Add-Ons Azure Kubernetes-fürtök üzembe helyezése. További információkért látogasson el a https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttároló lemezképeinek tartalmazniuk kell a preStop hookot | Megköveteli, hogy a tárolólemezképek tartalmazzon egy előStop-horgot a folyamatok zökkenőmentes leállításához a podleállítások során. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttároló lemezképei nem tartalmazhatják a legújabb képcímkét | Megköveteli, hogy a tárolólemezképek ne használják a legújabb címkét a Kubernetesben, ajánlott eljárás a reprodukálhatóság biztosítása, a nem kívánt frissítések megakadályozása, valamint a könnyebb hibakeresés és visszaállítás elősegítése explicit és verziószámozott tárolórendszerképek használatával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolóknak csak akkor szabad képeket lekérni, ha a rendszerkép lekérési titkos kódokat tartalmaz | A tárolók rendszerkép-lekéréseinek korlátozása az ImagePullSecrets jelenlétének kikényszerítéséhez, biztosítva a kubernetes-fürtön belüli képek biztonságos és engedélyezett elérését | Naplózás, megtagadás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtszolgáltatásoknak egyedi választókat kell használniuk | Győződjön meg arról, hogy a névtér szolgáltatásai egyedi választókkal rendelkeznek. Az egyedi szolgáltatásválasztó biztosítja, hogy a névtérben lévő összes szolgáltatás egyedileg azonosítható legyen adott feltételek alapján. Ez a szabályzat szinkronizálja a bejövő erőforrásokat az OPA-ba a Gatekeeperen keresztül. Alkalmazás előtt ellenőrizze, hogy a Gatekeeper-podok memóriakapacitása nem lesz-e túllépve. A paraméterek adott névterekre vonatkoznak, de az összes ilyen típusú erőforrást szinkronizálja az összes névtérben. A Kubernetes Service (AKS) jelenleg előzetes verzióban érhető el. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtnek pontos podkimaradási költségvetéseket kell implementálnia | Megakadályozza a hibás podkimaradási költségvetéseket, biztosítva a minimális számú működési podot. Részletekért tekintse meg a Kubernetes hivatalos dokumentációját. A Gatekeeper-adatreplikációra támaszkodik, és szinkronizálja a rá vonatkozó összes bejövő erőforrást az OPA-ba. A szabályzat alkalmazása előtt győződjön meg arról, hogy a szinkronizált bejövő erőforrások nem fogják terhelni a memóriakapacitást. Bár a paraméterek adott névtereket értékelnek ki, a névterek közötti összes ilyen erőforrás szinkronizálódik. Megjegyzés: a Kubernetes Service (AKS) jelenleg előzetes verzióban érhető el. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürtöknek korlátozniuk kell az adott erőforrástípus létrehozását | Adott Kubernetes-erőforrástípus nem helyezhető üzembe bizonyos névtérben. | Naplózás, megtagadás, letiltva | 2.2.0-előzetes verzió |
| [Előzetes verzió]: Affinitás elleni szabályokkal kell rendelkeznie | Ez a szabályzat biztosítja, hogy a podok a fürt különböző csomópontjaira legyenek ütemezve. Az affinitási szabályok kényszerítésével a rendelkezésre állás akkor is megmarad, ha az egyik csomópont elérhetetlenné válik. A podok továbbra is futnak más csomópontokon, ami növeli a rugalmasságot. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Nincsenek AKS-specifikus címkék | Megakadályozza, hogy az ügyfelek AKS-címkéket alkalmazzanak. Az AKS az AKS tulajdonában lévő összetevők megjelöléséhez előtaggal ellátott kubernetes.azure.com címkéket használ. Az ügyfél nem használhatja ezeket a címkéket. |
Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: Fenntartott rendszerkészlet-fertőzöttek | A CriticalAddonsOnly-t csak a rendszerkészletre korlátozza. Az AKS a CriticalAddonsOnly taint használatával távol tartja az ügyfél podjait a rendszerkészlettől. Ez biztosítja az AKS-összetevők és az ügyfél podok egyértelmű elkülönítését, valamint megakadályozza az ügyfél podok kizárását, ha nem tolerálják a CriticalAddonsOnly fertőzöttséget. | Naplózás, megtagadás, letiltva | 1.1.1-előzetes verzió |
| [Előzetes verzió]: A CriticalAddonsOnly-t csak a rendszerkészletre korlátozza. | A felhasználói alkalmazások felhasználói készletekből való kizárásának elkerülése és a felhasználói és rendszerkészletek közötti aggodalmak elkülönítésének fenntartása érdekében a "CriticalAddonsOnly" nem alkalmazható a felhasználói készletekre. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolók CPU-korlátait alapértelmezett értékre állítja, ha nem jelenik meg vagy lépi túl a korlátokat. | Tároló CPU-korlátainak beállítása az erőforrás-kimerülési támadások megelőzésére a Kubernetes-fürtökben. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A Kubernetes-fürttárolók memóriakorlátját alapértelmezett értékre állítja, ha nem jelenik meg vagy lépi túl a korlátokat. | Tárolómemóriakorlátok beállítása az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A maxUnavailable podokat 1 értékre állítja a PodDisruptionBudget-erőforrásokhoz | A maximális elérhetetlen podérték 1 értékre állítása biztosítja, hogy az alkalmazás vagy szolgáltatás elérhető legyen a megszakítás során | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A readOnlyRootFileSystem értéket állítja be a Pod specifikációban az Init-tárolókban igaz értékre, ha nincs beállítva. | A readOnlyRootFileSystem igaz értékre állítása növeli a biztonságot azáltal, hogy megakadályozza, hogy a tárolók a gyökér fájlrendszerbe írjanak. Ez csak Linux-tárolók esetén működik. | Mutáció, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A pod-specifikációban a readOnlyRootFileSystem értéket igaz értékre állítja, ha nincs beállítva. | A readOnlyRootFileSystem igaz értékre állítása növeli a biztonságot azáltal, hogy megakadályozza a tárolók írását a gyökér fájlrendszerbe | Mutáció, letiltva | 1.1.0-előzetes verzió |
| Az Azure Arc-kompatibilis Kubernetes-fürtöken telepítve kell lennie az Azure Policy-bővítménynek | Az Azure Arc Azure Policy-bővítménye központi, konzisztens módon biztosít helyszíni kényszerítéseket és védelmet az Arc-kompatibilis Kubernetes-fürtökön. További információ: https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie az Open Service Mesh-bővítménynek | Az Open Service Mesh bővítmény minden szabványos szolgáltatásháló-képességet biztosít az alkalmazásszolgáltatások biztonságához, forgalomkezeléséhez és megfigyelhetőségéhez. További tájékoztatást itt olvashat: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Arc-kompatibilis Kubernetes-fürtök esetében telepítve kell lennie a Strimzi Kafka-bővítménynek | A Strimzi Kafka bővítmény lehetővé teszi a Kafka telepítését valós idejű adatfolyamok és streamelési alkalmazások biztonsági és megfigyelhetőségi képességekkel történő létrehozásához. További információ: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Kubernetes-fürtöknek engedélyeznie kell a Tárolótároló interfészt (CSI) | A Tárolótároló felület (CSI) egy szabvány, amely tetszőleges blokk- és fájlrendszereket ad ki tárolóalapú számítási feladatok számára az Azure Kubernetes Service-ben. További információ: https://aka.ms/aks-csi-driver | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-fürtöknek engedélyeznie kell kulcskezelő szolgáltatás (KMS) | A Kubernetes-fürt biztonsága érdekében a kulcskezelő szolgáltatás (KMS) használatával titkosíthatja a kubernetes-fürt biztonsága érdekében az etcd-ben inaktív titkos adatokat. További információ: https://aka.ms/aks/kmsetcdencryption. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-fürtöknek az Azure CNI-t kell használniuk | Az Azure CNI előfeltétele az Azure Kubernetes Service egyes funkcióinak, például az Azure hálózati szabályzatainak, a Windows-csomópontkészleteknek és a virtuális csomópontok bővítményének. További információ: https://aka.ms/aks-azure-cni | Naplózás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek le kell tiltania a parancshívást | A parancsmeghívás letiltása növelheti a biztonságot a korlátozott hálózati hozzáférés vagy a Kubernetes szerepköralapú hozzáférés-vezérlés megkerülésének elkerülésével | Naplózás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a fürt automatikus frissítését | Az AKS-fürt automatikus frissítése biztosítja, hogy a fürtök naprakészek legyenek, és ne hagyja ki az AKS és a felsőbb rétegbeli Kubernetes legújabb funkcióit és javításait. További információ: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell az Image Cleaner szolgáltatást | Az Image Cleaner automatikusan sebezhető, nem használt képazonosítást és -eltávolítást végez, ami csökkenti az elavult képek kockázatát, és csökkenti a tisztításukhoz szükséges időt. További információ: https://aka.ms/aks/image-cleaner. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a Microsoft Entra ID integrációját | Az AKS által felügyelt Microsoft Entra ID-integráció a kubernetes szerepköralapú hozzáférés-vezérlés (Kubernetes RBAC) konfigurálásával kezelheti a fürtök elérését a felhasználó identitás- vagy címtárcsoport-tagsága alapján. További információ: https://aka.ms/aks-managed-aad. | Naplózás, letiltva | 1.0.2 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a csomópont operációs rendszerének automatikus frissítését | Az AKS-csomópont operációs rendszerének automatikus frissítése szabályozza a csomópontszintű operációs rendszer biztonsági frissítéseit. További információ: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes-szolgáltatásfürtöknek engedélyeznie kell a számítási feladatok identitását | A számítási feladatok identitása lehetővé teszi egyedi identitás hozzárendelését az egyes Kubernetes-podokhoz, és társítható az Azure AD által védett erőforrásokhoz, például az Azure Key Vaulthoz, így biztonságosan hozzáférhet ezekhez az erőforrásokhoz a podon belülről. További információ: https://aka.ms/aks/wi. | Naplózás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtöknek engedélyezniük kell a Defender-profilt | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.AzureDefender szolgáltatást az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági események adatainak gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Naplózás, letiltva | 2.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure Kubernetes-szolgáltatásfürtök kizárólag Azure Active Directory-identitásokat igényeljenek a hitelesítéshez. További információ: https://aka.ms/aks-disable-local-accounts. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Kubernetes-szolgáltatásfürtöknek felügyelt identitásokat kell használniuk | Felügyelt identitások használatával körbefuttathatja a szolgáltatásneveket, egyszerűbbé teheti a fürtkezelést, és elkerülheti a felügyelt szolgáltatásnevekhez szükséges összetettségeket. További információ: https://aka.ms/aks-update-managed-identities | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Kubernetes Service privát fürtjeinek használatát | Engedélyezze az Azure Kubernetes Service-fürt privát fürtszolgáltatását, hogy az API-kiszolgáló és a csomópontkészletek közötti hálózati forgalom csak a magánhálózaton maradjon. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Azure Arc-kompatibilis Kubernetes-fürtök konfigurálása az Azure Policy-bővítmény telepítéséhez | Az Azure Policy Azure Archoz készült bővítményének üzembe helyezése a nagy léptékű kényszerítések biztosításához és az Arc-kompatibilis Kubernetes-fürtök központosított, konzisztens védelméhez. További információ: https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Azure Kubernetes Service-fürtök konfigurálása a Defender-profil engedélyezéséhez | A Microsoft Defender for Containers felhőalapú natív Kubernetes-biztonsági képességeket biztosít, beleértve a környezetmegerősítést, a számítási feladatok védelmét és a futásidejű védelmet. Ha engedélyezi a SecurityProfile.Defendert az Azure Kubernetes Service-fürtön, a rendszer egy ügynököt helyez üzembe a fürtben a biztonsági eseményadatok gyűjtéséhez. További információ a Microsoft Defender for Containers szolgáltatásról: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| A Flux-bővítmény telepítésének konfigurálása a Kubernetes-fürtön | Telepítse a Flux-bővítményt a Kubernetes-fürtre a fluxconfigurations fürtben való üzembe helyezésének engedélyezéséhez | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval gyűjtőforrás és titkos kulcsok használatával a KeyVaultban | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt Bucket SecretKey szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a HTTPS CA-tanúsítvány használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-hitelesítésszolgáltatói tanúsítvány szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és HTTPS-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Key Vaultban tárolt HTTPS-kulcskulcs szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval a Git-adattár és a helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2 konfigurációval Git-adattár és SSH-titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz A Key Vaultban tárolt titkos SSH titkos kulcskód szükséges. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása Flux v2-konfigurációval nyilvános Git-adattár használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a meghatározott Git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott Flux v2 gyűjtőforrással helyi titkos kódok használatával | Helyezzen üzembe egy fluxConfigurationt a Kubernetes-fürtökön, hogy a fürtök a megadott gyűjtőből megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz a Kubernetes-fürtben tárolt helyi hitelesítési titkos kulcsok szükségesek. Útmutatásért látogasson el ide https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval HTTPS-titkos kódokkal | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz HTTPS-felhasználót és kulcstitkokat kell tárolni a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval titkos kódok nélkül | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ez a definíció nem igényel titkos kulcsokat. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-fürtök konfigurálása megadott GitOps-konfigurációval SSH-titkos kódok használatával | Telepítsen egy "sourceControlConfiguration"-t a Kubernetes-fürtökre, hogy a fürtök a megadott git-adattárból megkapják a számítási feladatok és konfigurációk igazságforrását. Ehhez a definícióhoz SSH titkos kulcskulcs szükséges a Key Vaultban. Útmutatásért látogasson el ide https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| A Microsoft Entra ID integrált Azure Kubernetes-szolgáltatásfürtök konfigurálása a szükséges Rendszergazda csoporthozzáféréssel | Győződjön meg arról, hogy a fürtbiztonság javítása központilag szabályozza Rendszergazda istrator hozzáférését a Microsoft Entra ID integrált AKS-fürtöihez. | DeployIfNotExists, Disabled | 2.1.0 |
| A Node OS automatikus frissítésének konfigurálása az Azure Kubernetes-fürtön | A Node OS automatikus frissítésével szabályozhatja az Azure Kubernetes Service-fürtök (AKS) csomópontszintű operációsrendszer-biztonsági frissítéseit. További információkért látogasson el https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-imageide. | DeployIfNotExists, Disabled | 1.0.1 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása az Azure Kubernetes Service-hez a Log Analytics-munkaterületre | Üzembe helyezi az Azure Kubernetes Service diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez. | DeployIfNotExists, Disabled | 3.0.0 |
| Azure Policy-bővítmény üzembe helyezése Azure Kubernetes Service-fürtökön | Az Azure Policy-bővítmény használatával kezelheti és jelentheti az Azure Kubernetes Service-fürtök megfelelőségi állapotát. További információ: https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Image Cleaner üzembe helyezése az Azure Kubernetes Service-ben | Az Image Cleaner üzembe helyezése Azure Kubernetes-fürtökön. További információkért látogasson el a https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Tervezett karbantartás üzembe helyezése az Azure Kubernetes Service-fürt frissítéseinek ütemezéséhez és szabályozásához | A tervezett karbantartás lehetővé teszi a heti karbantartási időszakok ütemezését a frissítések elvégzéséhez és a számítási feladatok hatásának minimalizálásához. Az ütemezést követően a frissítések csak a kijelölt ablakban történnek. További információ: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Parancshívás letiltása Azure Kubernetes Service-fürtökön | A parancsmeghívás letiltása növelheti a biztonságot a fürt meghívási parancshoz való hozzáférésének elutasításával | DeployIfNotExists, Disabled | 1.2.0 |
| Győződjön meg arról, hogy a fürttárolók készenlét- vagy élettartam-mintavételeket konfiguráltak | Ez a szabályzat kikényszeríti, hogy minden podon konfigurálva legyen a készültségi és/vagy az élettartam-mintavétel. A mintavétel típusa lehet tcpSocket, httpGet és exec. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. A szabályzat használatára vonatkozó utasításokért látogasson el a következő webhelyre https://aka.ms/kubepolicydoc: . | Naplózás, megtagadás, letiltva | 3.2.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürttárolók nem használhatnak tiltott sysctl-interfészeket | A tárolók nem használhatnak tiltott sysctl-interfészeket a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürttárolóknak csak az engedélyezett ProcMountType-t kell használniuk | A podtárolók csak engedélyezett ProcMountType-fájlokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.1 |
| A Kubernetes-fürttárolók csak engedélyezett lekéréses szabályzatot használhatnak | A tárolók lekérési szabályzatának korlátozása, hogy a tárolók csak engedélyezett rendszerképeket használjanak az üzemelő példányokon | Naplózás, megtagadás, letiltva | 3.1.0 |
| A Kubernetes-fürttárolók csak engedélyezett seccomp-profilokat használhatnak | A podtárolók csak engedélyezett seccomp profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt pod FlexVolume kötetei csak engedélyezett illesztőprogramokat használhatnak | A Pod FlexVolume-kötetek csak engedélyezett illesztőprogramokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.1 |
| A Kubernetes-fürt podjai és tárolói csak az engedélyezett Standard kiadás Linux-beállításokat használhatják | A podok és tárolók csak engedélyezett Standard kiadás Linux-beállításokat használhatnak egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.1 |
| A Kubernetes-fürt podjai csak engedélyezett kötettípusokat használhatnak | A podok csak engedélyezett kötettípusokat használhatnak a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.1 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.1.0 |
| A Kubernetes-fürt podjainak megadott címkéket kell használniuk | A megadott címkék használatával azonosíthatja a Kubernetes-fürtök podjait. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtszolgáltatások csak engedélyezett külső IP-címeket használhatnak | Használjon engedélyezett külső IP-címeket a kubernetes-fürtök potenciális támadásának (CVE-2020-8554) elkerüléséhez. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.1.0 |
| A Kubernetes-fürt nem használhat meztelen podokat | Meztelen podok használatának letiltása. A meztelen podok nem lesznek újraütemezve csomóponthiba esetén. A podokat üzembe helyezés, replicset, démonkészlet vagy feladatok alapján kell felügyelni | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem hagyják túl a processzort és a memóriát | A Túlküldés elkerülése érdekében a Windows tárolóerőforrás-kéréseinek kisebbnek vagy egyenlőnek kell lenniük az erőforráskorlátnak vagy meg nem határozottnak kell lenniük. Ha a Windows-memória túlterhelt, a lemez lapjait dolgozza fel – ami lelassíthatja a teljesítményt – ahelyett, hogy memóriakihasználtság esetén megszüntette volna a tárolót | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürt Windows-tárolói nem futtathatók tárolóként Rendszergazda istratorként | A Tároló Rendszergazda istrator felhasználóként való használatának megakadályozása a Windows-podok vagy -tárolók tárolófolyamatainak végrehajtásához. Ez a javaslat a Windows-csomópontok biztonságának javítását célozza. További információ: https://kubernetes.io/docs/concepts/windows/intro/ . | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Kubernetes-fürt Windows-tárolóinak csak jóváhagyott felhasználói és tartományi felhasználói csoporttal kell futniuk | Annak a felhasználónak a szabályozása, amellyel a Windows-podok és -tárolók kubernetes-fürtön futtathatók. Ez a javaslat a Windows-csomópontok podbiztonsági szabályzatainak része, amelyek célja a Kubernetes-környezetek biztonságának javítása. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-fürtöknek le kell tiltania az API-hitelesítő adatok automatikus leválasztását | Tiltsa le az API hitelesítő adatainak automatikus leválasztását, hogy egy potenciálisan sérült poderőforrás api-parancsokat futtasson a Kubernetes-fürtökön. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtöknek biztosítaniuk kell, hogy a fürt-rendszergazda szerepkör csak akkor legyen használatban, ha szükséges | A "fürtadminisztrátor" szerepkör széles körű hatásköröket biztosít a környezet felett, és csak ott és akkor szabad használni, ha szükséges. | Naplózás, letiltva | 1.0.0 |
| A Kubernetes-fürtöknek minimálisra kell csökkenteniük a helyettesítő karakterek szerepkörben és fürtszerepkörben való használatát | A*helyettesítő karakterek használata biztonsági kockázatot jelenthet, mivel széles körű engedélyeket biztosít, amelyek nem feltétlenül szükségesek egy adott szerepkörhöz. Ha egy szerepkör túl sok engedéllyel rendelkezik, előfordulhat, hogy egy támadó vagy egy feltört felhasználó visszaél azzal, hogy jogosulatlan hozzáférést szerezzen a fürt erőforrásaihoz. | Naplózás, letiltva | 1.0.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.1.0 |
| A Kubernetes-fürtök nem engedélyezhetik a ClusterRole/system:aggregate-to-edit végpontszerkesztési engedélyeit | ClusterRole/system:aggregate-to-edit nem engedélyezheti a végpont szerkesztési engedélyeit a CVE-2021-25740 miatt, az Endpoint &EndpointSlice engedélyek lehetővé teszik a névtérközi továbbítást, https://github.com/kubernetes/kubernetes/issues/103675. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, letiltva | 3.1.0 |
| A Kubernetes-fürtök nem biztosíthatnak CAP_SYS_ADMIN biztonsági képességeket | A tárolók támadási felületének csökkentéséhez korlátozza CAP_SYS_ADMIN Linux-képességeket. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatnak speciális biztonsági képességeket | A Kubernetes-fürtök bizonyos biztonsági képességeinek megakadályozása a poderőforrás jogosulatlan jogosultságainak megakadályozása érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.1.0 |
| A Kubernetes-fürtök nem használhatják az alapértelmezett névteret | A Kubernetes-fürtök alapértelmezett névterének használatának megakadályozása a ConfigMap, Pod, Secret, Service és ServiceAccount erőforrástípusok jogosulatlan hozzáférése elleni védelem érdekében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 4.1.0 |
| A Kubernetes-fürtöknek a StorageClass tárolótároló-illesztőt (CSI) kell használniuk | A tárolóalapú tárolási interfész (Container Storage Interface, CSI) a tetszőleges blokk- és fájltárolási rendszereknek a Kubernetes tárolóalapú számítási feladatai számára történő elérhetővé tételére vonatkozó szabvány. Az AKS 1.21-es verziója óta a StorageClass faalapú kiépítési osztályát el kell elavultnak minősíteni. További információ: https://aka.ms/aks-csi-driver | Naplózás, megtagadás, letiltva | 2.2.0 |
| A Kubernetes-fürtöknek belső terheléselosztókat kell használniuk | Belső terheléselosztók használatával a Kubernetes-szolgáltatást csak a Kubernetes-fürtvel azonos virtuális hálózaton futó alkalmazások számára teheti elérhetővé. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.1.0 |
| A Kubernetes-erőforrásoknak kötelező széljegyzetekkel kell rendelkezniük | Győződjön meg arról, hogy a szükséges széljegyzetek egy adott Kubernetes-erőforrástípushoz vannak csatolva a Kubernetes-erőforrások jobb erőforrás-kezeléséhez. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | Naplózás, megtagadás, letiltva | 3.1.0 |
| Engedélyezni kell az Erőforrásnaplókat az Azure Kubernetes Service-ben | Az Azure Kubernetes Service erőforrásnaplói segíthetnek újra létrehozni a tevékenységnaplókat a biztonsági incidensek vizsgálata során. Annak engedélyezése, hogy szükség esetén a naplók létezni tudjanak | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
Lab Services
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Lab Servicesnek engedélyeznie kell az automatikus leállítás összes beállítását | Ez a szabályzat segítséget nyújt a költségkezeléshez azáltal, hogy kikényszerít minden automatikus leállítási lehetőséget egy tesztkörnyezetben. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Lab Services nem engedélyezheti a sablon virtuális gépeket tesztkörnyezetekhez | Ez a szabályzat megakadályozza a Lab Services által felügyelt tesztkörnyezetek sablon virtuális gépeinek létrehozását és testreszabását. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Laborszolgáltatásoknak nem rendszergazdai felhasználót kell igényelniük a tesztkörnyezetekhez | Ehhez a szabályzathoz nem rendszergazdai felhasználói fiókokat kell létrehozni a laborszolgáltatásokon keresztül felügyelt tesztkörnyezetekhez. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Lab Servicesnek korlátoznia kell az engedélyezett virtuálisgép-termékváltozat-méreteket | Ez a szabályzat lehetővé teszi bizonyos számítási virtuálisgép-termékváltozatok korlátozását a Lab Servicesen keresztül felügyelt tesztkörnyezetekhez. Ez korlátozza a virtuális gépek bizonyos méretét. | Naplózás, megtagadás, letiltva | 1.1.0 |
Lighthouse
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Bérlőazonosítók kezelésének engedélyezése az Azure Lighthouse-on keresztül | Az Azure Lighthouse-delegálások adott bérlőkre való korlátozása növeli a biztonságot azáltal, hogy korlátozza azOkat, akik kezelhetik az Azure-erőforrásokat. | elutasítás | 1.0.1 |
| Hatókörök delegálásának naplózása egy felügyelt bérlőre | Hatókörök delegálásának naplózása egy felügyelt bérlőre az Azure Lighthouse-on keresztül. | Naplózás, letiltva | 1.0.0 |
Logic Apps
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani | Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Logic Appst az Integration Service-környezetben kell üzembe helyezni | A Logic Apps integrációs szolgáltatáskörnyezetben való üzembe helyezése virtuális hálózatban oldja fel a Logic Apps fejlett hálózati és biztonsági funkcióit, és nagyobb ellenőrzést biztosít a hálózati konfiguráció felett. További információ: https://aka.ms/integration-service-environment. Az integrációs szolgáltatási környezetben való üzembe helyezés lehetővé teszi az ügyfél által felügyelt kulcsokkal való titkosítást is, amely fokozott adatvédelmet tesz lehetővé a titkosítási kulcsok kezelésével. Ez gyakran megfelel a megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Machine Tanulás Modellregisztrációs adatbázis üzembe helyezése korlátozott, kivéve az engedélyezett beállításjegyzéket | Csak a beállításjegyzék-modelleket helyezze üzembe az engedélyezett beállításjegyzékben, és amelyek nincsenek korlátozva. | Megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure Machine Tanulás számítási példánynak tétlen le kell állítania. | Az üresjárati leállítás ütemezése csökkenti a költségeket azáltal, hogy leállítja az előre meghatározott tevékenységi időszak után tétlen számításokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás számítási példányokat újra létre kell hozni a legújabb szoftverfrissítések lekéréséhez | Győződjön meg arról, hogy az Azure Machine Tanulás számítási példányok a legújabb elérhető operációs rendszeren futnak. A biztonság javul, a biztonsági rések pedig a legújabb biztonsági javítások futtatásával csökkenthetők. További információ: https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Az Azure Machine Tanulás Computesnek virtuális hálózaton kell lennie | Az Azure Virtual Networks fokozott biztonságot és elkülönítést biztosít az Azure Machine Tanulás számítási fürtök és példányok, valamint az alhálózatok, a hozzáférés-vezérlési szabályzatok és egyéb funkciók számára a hozzáférés további korlátozásához. Ha egy számítás virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető, és csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el. | Naplózás, letiltva | 1.0.1 |
| Az Azure Machine Tanulás Computes esetében le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy a machine Tanulás Computes kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/azure-ml-aad-policy. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Machine Tanulás-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine többi részén Tanulás munkaterület adatainak kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.0.3 |
| Az Azure Machine Tanulás-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a Tanulás-munkaterületek ne legyenek közzétéve a nyilvános interneten. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az Azure Machine Tanulás-munkaterületeknek engedélyeznie kell a V1LegacyMode-ot a hálózatelkülönítés visszamenőleges kompatibilitásának támogatásához | Az Azure ML áttér egy új V2 API-platformra az Azure Resource Managerben, és a V1LegacyMode paraméterrel vezérelheti az API-platform verzióját. A V1LegacyMode paraméter engedélyezése lehetővé teszi, hogy a munkaterületek ugyanabban a hálózati elkülönítésben maradjanak, mint a V1, bár nem fogja használni az új V2-funkciókat. Javasoljuk, hogy csak akkor kapcsolja be a V1 örökölt módot, ha meg szeretné őrizni az AzureML vezérlősík adatait a magánhálózatokon belül. További információ: https://aka.ms/V1LegacyMode. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine-Tanulás-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás-munkaterületeknek felhasználó által hozzárendelt felügyelt identitást kell használniuk | Felhasználói hozzáférés az Azure ML-munkaterülethez és a kapcsolódó erőforrásokhoz, az Azure Container Registryhez, a KeyVaulthoz, a Storage-hoz és az alkalmazáshoz Elemzések felhasználó által hozzárendelt felügyelt identitás használatával. Alapértelmezés szerint a rendszer által hozzárendelt felügyelt identitást az Azure ML-munkaterület használja a társított erőforrások eléréséhez. A felhasználó által hozzárendelt felügyelt identitás lehetővé teszi az identitás Azure-erőforrásként való létrehozását és az identitás életciklusának fenntartását. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Tanulás Computes konfigurálása a helyi hitelesítési módszerek letiltásához | Tiltsa le a helyhitelesítési módszereket, hogy a számítógép Tanulás számításai kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/azure-ml-aad-policy. | Módosítás, letiltva | 2.1.0 |
| Az Azure Machine Tanulás-munkaterület konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Machine Tanulás-munkaterületekhez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Az Azure Machine Tanulás-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Machine Tanulás-munkaterületek nyilvános hálózati hozzáférését, hogy a munkaterületek ne legyenek elérhetők a nyilvános interneten keresztül. Ez segít megvédeni a munkaterületeket az adatszivárgási kockázatokkal szemben. A munkaterületek expozícióját privát végpontok létrehozásával szabályozhatja. További információ: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Módosítás, letiltva | 1.0.3 |
| Azure Machine Tanulás-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Machine Tanulás-munkaterületre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai beállítások konfigurálása az Azure Machine Tanulás-munkaterületekhez a Log Analytics-munkaterületre | Üzembe helyezi az Azure Machine Tanulás-munkaterületek diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó Azure Machine Tanulás-munkaterületek létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure Machine Tanulás-munkaterületek erőforrásnaplóit | Az erőforrásnaplók lehetővé teszik a tevékenységútvonalak újrakonfigurálását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózat sérült. | AuditIfNotExists, Disabled | 1.0.1 |
Felügyelt alkalmazás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A felügyelt alkalmazás alkalmazásdefiníciójának az ügyfél által megadott tárfiókot kell használnia | A saját tárfiók használatával szabályozhatja az alkalmazásdefiníciós adatokat, ha ez egy szabályozási vagy megfelelőségi követelmény. Dönthet úgy, hogy a felügyelt alkalmazásdefiníciót egy, a létrehozás során megadott tárfiókban tárolja, hogy a hely és a hozzáférés teljes mértékben kezelhető legyen a jogszabályi megfelelőségi követelmények teljesítése érdekében. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Társítások üzembe helyezése felügyelt alkalmazáshoz | Olyan társításerőforrást helyez üzembe, amely a kijelölt erőforrástípusokat a megadott felügyelt alkalmazáshoz társítja. Ez a házirend-telepítés nem támogatja a beágyazott erőforrástípusokat. | deployIfNotExists | 1.0.0 |
Managed Grafana
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Managed Grafana privát kapcsolatot használ | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok felügyelt Grafana-ba való leképezésével csökkentheti az adatszivárgási kockázatokat. | Naplózás, letiltva | 1.0.0 |
| Az Azure Managed Grafana-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mivel biztosítja, hogy az Azure Managed Grafana-munkaterülete ne legyen közzétéve a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a munkaterületek expozícióját. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Azure Managed Grafana-irányítópultok konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Managed Grafana-ba való leképezésével csökkentheti az adatszivárgási kockázatokat. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Managed Grafana-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Managed Grafana-munkaterület nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. | Módosítás, letiltva | 1.0.0 |
| Azure Managed Grafana-munkaterületek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Managed Grafana-munkaterületekhez való feloldás érdekében. | DeployIfNotExists, Disabled | 1.0.0 |
Felügyelt identitás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Kubernetes által összevont felügyelt identitás hitelesítő adatainak megbízható forrásokból kell származnia | Ez a szabályzat az Azure Kubernetes-fürtökkel való összevonást csak a jóváhagyott bérlőktől, a jóváhagyott régióktól és a további fürtök speciális kivétellistájától származó fürtökre korlátozza. | Naplózás, Letiltás, Megtagadás | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A GitHubról összevont felügyelt identitás hitelesítő adatainak megbízható tárház-tulajdonosoktól kell származnia | Ez a szabályzat csak a jóváhagyott adattártulajdonosokra korlátozza a GitHub-adattárakkal való összevonást. | Naplózás, Letiltás, Megtagadás | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A felügyelt identitás összevont hitelesítő adatainak engedélyezett kiállítótípusokból kell származnia | Ez a szabályzat korlátozza, hogy a felügyelt identitások használhatják-e az összevont hitelesítő adatokat, mely gyakori kiállítótípusok engedélyezettek, és felsorolja az engedélyezett kiállítói kivételeket. | Naplózás, Letiltás, Megtagadás | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Beépített, felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuálisgép-méretezési csoportokhoz | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást, vagy rendeljen hozzá egy előre létrehozott, felhasználó által hozzárendelt felügyelt identitást nagy méretekben a virtuálisgép-méretezési csoportokhoz. Részletesebb dokumentációért látogasson el a aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-előzetes verzió |
| [Előzetes verzió]: Beépített, felhasználó által hozzárendelt felügyelt identitás hozzárendelése virtuális gépekhez | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást, vagy rendeljen hozzá egy előre létrehozott, felhasználó által hozzárendelt felügyelt identitást nagy léptékben a virtuális gépekhez. Részletesebb dokumentációért látogasson el a aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-előzetes verzió |
Maps
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A CORS nem engedélyezheti minden erőforrás számára a térképfiók elérését. | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára a térképfiók elérését. Csak a szükséges tartományok használhatják a térképfiókot. | Letiltva, Naplózás, Megtagadás | 1.0.0 |
Media Services
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Media Services-fiókoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Media Services-erőforrások nem érhetők el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja a Media Services-erőforrások expozícióját. További információ: https://aka.ms/mediaservicesprivatelinkdocs. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Services-fiókoknak olyan API-t kell használniuk, amely támogatja a Private Linket | A Media Services-fiókokat olyan API-val kell létrehozni, amely támogatja a privát kapcsolatot. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Le kell tiltani azokat az Azure Media Services-fiókokat, amelyek engedélyezik az örökölt v2 API elérését | A Media Services örökölt v2 API-ja olyan kéréseket tesz lehetővé, amelyek nem kezelhetők az Azure Policy használatával. A 2020-05-01 API-val vagy újabb verzióval létrehozott Media Services-erőforrások blokkolják az örökölt v2 API elérését. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Services tartalomkulcs-szabályzatai jogkivonat-hitelesítést használnak | A tartalomkulcs-szabályzatok meghatározzák a tartalomkulcsok eléréséhez szükséges feltételeket. A jogkivonat-korlátozások biztosítják, hogy a tartalomkulcsokat csak olyan felhasználók érhessék el, akiknek érvényes jogkivonata van egy hitelesítési szolgáltatásból, például a Microsoft Entra-azonosítóból. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A HTTPS-bemenetekkel rendelkező Azure Media Services-feladatoknak az engedélyezett URI-mintákra kell korlátozniuk a bemeneti URI-kat | A Media Services-feladatok által használt HTTPS-bemenetek korlátozása ismert végpontokra. A HTTPS-végpontok bemenetei teljes mértékben letilthatók az engedélyezett feladatbeviteli minták üres listájának beállításával. Ha a feladatbemenetek egy "baseUri" értéket adnak meg, a minták ennek az értéknek lesznek megfeleltetve; ha a "baseUri" nincs beállítva, a rendszer a mintát a "files" tulajdonsághoz igazítja. | Megtagadás, letiltva | 1.0.1 |
| Az Azure Media Servicesnek ügyfél által felügyelt kulcsokat kell használnia az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a Media Services-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/mediaservicescmkdocs. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Media Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Media Services-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Media Services konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Media Services-fiók feloldása érdekében. További információ: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Media Services konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Media Services-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Költöztetés
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Migrate-erőforrások konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Migrate-projekt megoldásához. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
Mobilhálózat
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Csomagmag vezérlősík diagnosztikai hozzáférésének konfigurálása a Microsoft EntraID hitelesítési típus használatára | Az authenticaton típusnak a Microsoft EntraID-nek kell lennie a csomagmag diagnosztikai hozzáféréséhez a helyi API-kon keresztül | Módosítás, letiltva | 1.0.0 |
| A Csomagmag vezérlősík diagnosztikai hozzáférésének csak Microsoft EntraID hitelesítési típust kell használnia | Az authenticaton típusnak a Microsoft EntraID-nek kell lennie a csomagmag diagnosztikai hozzáféréséhez a helyi API-kon keresztül | Naplózás, megtagadás, letiltva | 1.0.0 |
| A SIM-csoportnak ügyfél által felügyelt kulcsokkal kell titkosítania az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a SIM-csoportok többi SIM-titkos kulcsának titkosítását. Az ügyfél által felügyelt kulcsok gyakran szükségesek a jogszabályi megfelelőségi szabványoknak való megfeleléshez, és lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, megtagadás, letiltva | 1.0.0 |
Figyelés
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Azure Arc-kompatibilis Linux-gépek konfigurálása az alapértelmezett Log Analytics-munkaterülethez csatlakoztatott Log Analytics-ügynökökkel | Az Azure Arc-kompatibilis Linux-gépek védelme Felhőhöz készült Microsoft Defender képességekkel, olyan Log Analytics-ügynökök telepítésével, amelyek adatokat küldenek a Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett Log Analytics-munkaterületre. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Azure Arc-kompatibilis Windows-gépek konfigurálása az alapértelmezett Log Analytics-munkaterülethez csatlakoztatott Log Analytics-ügynökökkel | Az Azure Arc-kompatibilis Windows-gépek védelme Felhőhöz készült Microsoft Defender képességekkel, ha olyan Log Analytics-ügynököket telepít, amelyek adatokat küldenek az Felhőhöz készült Microsoft Defender által létrehozott alapértelmezett Log Analytics-munkaterületre. | DeployIfNotExists, Disabled | 1.1.0-előzetes verzió |
| [Előzetes verzió]: Rendszer által hozzárendelt felügyelt identitás konfigurálása az Azure Monitor-hozzárendelések virtuális gépeken való engedélyezéséhez | Konfigurálja a rendszer által hozzárendelt felügyelt identitást az Azure Monitor által támogatott és rendszer által hozzárendelt felügyelt identitással nem rendelkező Azure-beli virtuális gépekre. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden Azure Monitor-hozzárendelésnek, és az Azure Monitor-bővítmények használata előtt hozzá kell adni a gépekhez. A cél virtuális gépeknek támogatott helyen kell lenniük. | Módosítás, letiltva | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nincs a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| A tevékenységnaplót legalább egy évig meg kell őrizni | Ez a szabályzat naplózza a tevékenységnaplót, ha a megőrzés nincs beállítva 365 napra vagy örökre (a megőrzési napok értéke 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott Rendszergazda istrative műveletekhez | Ez a szabályzat bizonyos Rendszergazda istrative műveleteket naplóz, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Tevékenységnapló-riasztásnak kell léteznie adott szabályzatműveletekhez | Ez a szabályzat naplózza az adott szabályzatműveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 3.0.0 |
| Adott biztonsági műveletekhez tevékenységnapló-riasztásnak kell léteznie | Ez a szabályzat naplózza az adott biztonsági műveleteket, és nincsenek konfigurálva tevékenységnapló-riasztások. | AuditIfNotExists, Disabled | 1.0.0 |
| Az alkalmazás Elemzések összetevőinek blokkolnia kell a naplóbetöltést és a nyilvános hálózatokról való lekérdezést | Az alkalmazásbiztonság Elemzések javítása a naplóbetöltés és a nyilvános hálózatokról való lekérdezés letiltásával. Ennek az összetevőnek a naplóit csak a privát kapcsolattal rendelkező hálózatok tudják majd beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-application-insights. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az alkalmazás Elemzések összetevőinek blokkolnia kell a nem Azure Active Directory-alapú betöltési elemet. | A naplóbetöltés kényszerítése az Azure Active Directory-hitelesítés megkövetelése érdekében megakadályozza, hogy a támadó nem hitelesített naplókat használjon, amelyek helytelen állapothoz, téves riasztásokhoz és helytelen naplókhoz vezethetnek a rendszerben. | Megtagadás, naplózás, letiltva | 1.0.0 |
| A Private Linket engedélyező alkalmazás-Elemzések összetevőknek saját tárfiókokat kell használniuk a profilkészítőhöz és a hibakeresőhöz. | A privát kapcsolat és az ügyfél által felügyelt kulcsszabályzatok támogatásához hozzon létre saját tárfiókot a profilkészítő és hibakereső számára. További információ: https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Megtagadás, naplózás, letiltva | 1.0.0 |
| A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása | A kiválasztott erőforrástípusok diagnosztikai beállításának naplózása. Ügyeljen arra, hogy csak olyan erőforrástípusokat válasszon, amelyek támogatják a diagnosztikai beállításokat. | AuditIfNotExists | 2.0.1 |
| Azure-alkalmazás átjárónak engedélyeznie kell az erőforrásnaplókat | Engedélyezze az erőforrásnaplókat Azure-alkalmazás átjáróhoz (plusz WAF), és streameljen egy Log Analytics-munkaterületre. Részletes betekintést kaphat a bejövő webes forgalomba és a támadások mérséklésére tett műveletekbe. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Front Doornak engedélyeznie kell az erőforrásnaplókat | Engedélyezze az Azure Front Door (plusz WAF) erőforrásnaplóit, és streameljen egy Log Analytics-munkaterületre. Részletes betekintést kaphat a bejövő webes forgalomba és a támadások mérséklésére tett műveletekbe. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Front Door Standard vagy Premium (plusz WAF) erőforrásnaplóinak engedélyezve kell lennie | Engedélyezze az Azure Front Door Standard vagy Premium (plusz WAF) erőforrásnaplóit, és streameljen egy Log Analytics-munkaterületre. Részletes betekintést kaphat a bejövő webes forgalomba és a támadások mérséklésére tett műveletekbe. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Log Search-riasztásoknak a Log Analytics-munkaterületeken ügyfél által felügyelt kulcsokat kell használniuk | Győződjön meg arról, hogy az Azure Log Search-riasztások ügyfél által felügyelt kulcsokat implementálnak, ha a lekérdezés szövegét az ügyfél által a lekérdezett Log Analytics-munkaterülethez megadott tárfiókkal tárolja. További információ: https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure Monitor naplóprofiljának naplókat kell gyűjtenie az "írás", a "törlés" és a "művelet" kategóriákhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil gyűjtsön naplókat az "írás", a "törlés" és a "művelet" kategóriákhoz | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani | Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitor alkalmazásnaplóit Elemzések egy Log Analytics-munkaterülethez kell csatolni | Csatolja az Alkalmazás Elemzések összetevőt egy Log Analytics-munkaterülethez a naplók titkosításához. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és az adatokhoz való hozzáférés az Azure Monitorban való hatékonyabb ellenőrzéséhez. Ha az összetevőt egy ügyfél által felügyelt kulccsal engedélyezett Log Analytics-munkaterülethez csatolja, biztosítja, hogy az alkalmazás Elemzések naplói megfeleljenek ennek a megfelelőségi követelménynek.https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Monitor privát kapcsolat hatókörének blokkolnia kell a nem privát kapcsolati erőforrásokhoz való hozzáférést | Az Azure Private Link lehetővé teszi a virtuális hálózatok Azure-erőforrásokhoz való csatlakoztatását egy privát végponton keresztül egy Azure Monitor Private Link-hatókörhöz (AMPLS). A privát kapcsolat hozzáférési módjai az AMPLS-en vannak beállítva annak szabályozására, hogy a hálózatokból érkező betöltési és lekérdezési kérések elérhetik-e az összes erőforrást, vagy csak a Private Link-erőforrásokat (az adatkiszivárgás megakadályozása érdekében). További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Monitor privát kapcsolat hatókörének magánhivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Monitor Private Links-hatókörre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitornak minden régióból be kell gyűjtenie a tevékenységnaplókat | Ez a szabályzat naplózza az Azure Monitor naplóprofilt, amely nem exportál tevékenységeket az összes Azure-támogatás régióból, beleértve a globálist is. | AuditIfNotExists, Disabled | 2.0.0 |
| A "Security and Audit" Azure Monitor-megoldást üzembe kell helyezni | Ez a szabályzat biztosítja a biztonság és a naplózás üzembe helyezését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-előfizetéseknek naplóprofillal kell rendelkezniük a tevékenységnaplóhoz | Ez a szabályzat biztosítja, hogy egy naplóprofil engedélyezve legyen-e a tevékenységnaplók exportálásához. Naplózza, ha nem jött létre naplóprofil a naplók tárfiókba vagy eseményközpontba való exportálásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure-tevékenységnaplók konfigurálása a megadott Log Analytics-munkaterületre való streameléshez | Üzembe helyezi az Azure-tevékenység diagnosztikai beállításait az előfizetések naplózási naplóinak Log Analytics-munkaterületre való streameléséhez az előfizetésszintű események monitorozásához | DeployIfNotExists, Disabled | 1.0.0 |
| Azure-alkalmazás Elemzések összetevők konfigurálása a nyilvános hálózati hozzáférés letiltásához a naplóbetöltéshez és a lekérdezéshez | Tiltsa le az összetevők naplóbetöltését és a nyilvános hálózatok hozzáféréséből való lekérdezést a biztonság javítása érdekében. Ezen a munkaterületen csak a privát kapcsolattal rendelkező hálózatok tudnak naplókat beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-application-insights. | Módosítás, letiltva | 1.1.0 |
| Az Azure Log Analytics-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltására a naplóbetöltéshez és a lekérdezéshez | A munkaterület biztonságának javítása a naplóbetöltés és a nyilvános hálózatokról való lekérdezés letiltásával. Ezen a munkaterületen csak a privát kapcsolattal rendelkező hálózatok tudnak naplókat beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Módosítás, letiltva | 1.1.0 |
| Az Azure Monitor privát kapcsolat hatókörének konfigurálása a nem privát kapcsolati erőforrásokhoz való hozzáférés letiltásához | Az Azure Private Link lehetővé teszi a virtuális hálózatok Azure-erőforrásokhoz való csatlakoztatását egy privát végponton keresztül egy Azure Monitor Private Link-hatókörhöz (AMPLS). A privát kapcsolat hozzáférési módjai az AMPLS-en vannak beállítva annak szabályozására, hogy a hálózatokból érkező betöltési és lekérdezési kérések elérhetik-e az összes erőforrást, vagy csak a Private Link-erőforrásokat (az adatkiszivárgás megakadályozása érdekében). További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Módosítás, letiltva | 1.0.0 |
| Az Azure Monitor privát kapcsolati hatókörének konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. A privát DNS-zónák a virtuális hálózatra mutató hivatkozások, amelyek feloldják az Azure Monitor privát kapcsolati hatókörét. További információ: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Monitor Private Link-hatókörök konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Monitor Private Link-hatókörökhöz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon az Azure Monitoring Agent beállításaival | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény Azure Monitoring Agent-beállításokkal való telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 2.0.0 |
| Függőségi ügynök konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon az Azure Monitoring Agent beállításaival | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Függőségi ügynök virtuálisgép-bővítmény Azure Monitoring Agent-beállításokkal való telepítésével. A virtuálisgép-elemzések a Függőségi ügynök használatával gyűjtik a hálózati metrikákat, és felderítik a gépen futó folyamatokkal és a külső folyamatfüggőségekkel kapcsolatos adatokat. További információ : https://aka.ms/vminsightsdocs. | DeployIfNotExists, Disabled | 1.1.2 |
| Linux Arc-gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux Arc-gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 2.2.0 |
| Linux Arc-kompatibilis gépek konfigurálása az Azure Monitor-ügynök futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux Arc-kompatibilis gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha a régió támogatott. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Linux rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 6.3.0 |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.2.0 |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor-ügynök rendszer által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Linux rendszerű virtuális gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Linux rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.2.0 |
| Linux rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására rendszer által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Linux rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Linux rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| A Log Analytics-bővítmény konfigurálása Azure Arc-kompatibilis Linux-kiszolgálókon. Lásd alább az elavulással kapcsolatos közleményt | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Log Analytics virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Log Analytics-ügynökkel gyűjtik a vendég operációs rendszer teljesítményadatait, és betekintést nyújtanak a teljesítményükbe. További információ : https://aka.ms/vminsightsdocs. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 2.1.1 |
| Log Analytics-bővítmény konfigurálása Azure Arc-kompatibilis Windows-kiszolgálókon | Engedélyezze a virtuálisgép-elemzéseket az Azure-hoz arc-kompatibilis kiszolgálókon keresztül csatlakoztatott kiszolgálókon és gépeken a Log Analytics virtuálisgép-bővítmény telepítésével. A virtuálisgép-elemzések a Log Analytics-ügynökkel gyűjtik a vendég operációs rendszer teljesítményadatait, és betekintést nyújtanak a teljesítményükbe. További információ : https://aka.ms/vminsightsdocs. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 2.1.1 |
| Log Analytics-munkaterület és automation-fiók konfigurálása naplók és monitorozás központosításához | Log Analytics-munkaterületet és társított automatizálási fiókot tartalmazó erőforráscsoport üzembe helyezése a naplók és a figyelés központosításához. Az automation-fiók olyan megoldásokhoz használható, mint a Frissítések és a Változáskövetés. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Windows Arc-gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése a Windows Arc-gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 2.2.0 |
| Windows Arc-kompatibilis gépek konfigurálása az Azure Monitor-ügynök futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows Arc-kompatibilis gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Windows rendszerű gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Windows rendszerű virtuális gépek, virtuálisgép-méretezési csoportok és Arc-gépek összekapcsolásához a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 4.5.0 |
| A Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportoknak a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 3.3.0 |
| Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent rendszer által hozzárendelt felügyelt identitással való futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Monitor Agent felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel történő futtatásához | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuálisgép-méretezési csoportokon telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Windows rendszerű virtuális gépek konfigurálása adatgyűjtési szabályhoz vagy adatgyűjtési végponthoz való társításhoz | Társítás üzembe helyezése Windows rendszerű virtuális gépeknek a megadott adatgyűjtési szabályhoz vagy a megadott adatgyűjtési végponthoz való csatolásához. A helyek és operációsrendszer-rendszerképek listája idővel frissül a támogatás növekedésével. | DeployIfNotExists, Disabled | 3.3.0 |
| Windows rendszerű virtuális gépek konfigurálása az Azure Monitor Agent rendszer által hozzárendelt felügyelt identitással való futtatására | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, ha az operációs rendszer és a régió támogatott, és a rendszer által hozzárendelt felügyelt identitás engedélyezve van, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Windows rendszerű virtuális gépek konfigurálása az Azure Monitor-ügynök futtatására felhasználó által hozzárendelt felügyelt identitásalapú hitelesítéssel | Az Azure Monitor Agent bővítmény üzembe helyezésének automatizálása Windows rendszerű virtuális gépeken telemetriai adatok gyűjtéséhez a vendég operációs rendszerből. Ez a szabályzat telepíti a bővítményt, és konfigurálja a megadott felhasználó által hozzárendelt felügyelt identitás használatára, ha az operációs rendszer és a régió támogatott, és máskülönben kihagyja a telepítést. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| A függőségi ügynököt engedélyezni kell a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuális gépeket, ha a virtuális gép lemezképe nem szerepel a definiált listában, és az ügynök nincs telepítve. Az operációsrendszer-rendszerképek listája idővel frissül a támogatás frissítésével. | AuditIfNotExists, Disabled | 2.0.0 |
| A függőségi ügynököt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nincs a definiált listában, és az ügynök nincs telepítve. Az operációsrendszer-rendszerképek listája idővel frissül a támogatás frissítésével. | AuditIfNotExists, Disabled | 2.0.0 |
| Üzembe helyezés – A függőségi ügynök konfigurálása a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez | A Függőségi ügynök üzembe helyezése Windows rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítéssel. | DeployIfNotExists, Disabled | 3.1.0 |
| Üzembe helyezés – A függőségi ügynök konfigurálása a Windows rendszerű virtuális gépeken való engedélyezéshez | Telepítse a függőségi ügynököt Windows rendszerű virtuális gépekhez, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. | DeployIfNotExists, Disabled | 3.1.0 |
| Üzembe helyezés – Diagnosztikai beállítások konfigurálása Log Analytics-munkaterületre az Azure Key Vault felügyelt HSM-en való engedélyezéséhez | Üzembe helyezi az Azure Key Vault felügyelt HSM diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Azure Key Vault felügyelt HSM-et létrehozza vagy frissíti. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – A Log Analytics-bővítmény konfigurálása a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez | Telepítse a Log Analytics-bővítményt Windows rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuális gép lemezképe szerepel a definiált listában, és a bővítmény nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére kell alkalmaznia a frissítéssel. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 3.1.0 |
| Üzembe helyezés – A Log Analytics-bővítmény konfigurálása a Windows rendszerű virtuális gépeken való engedélyezéshez | A Log Analytics-bővítmény üzembe helyezése Windows rendszerű virtuális gépeken, ha a virtuális gép lemezképe szerepel a definiált listában, és a bővítmény nincs telepítve. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | DeployIfNotExists, Disabled | 3.1.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz | Telepítse a függőségi ügynököt Linux rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. | deployIfNotExists | 5.0.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival | A Függőségi ügynök üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. | DeployIfNotExists, Disabled | 3.1.1 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépekhez | Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépeken, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve. | deployIfNotExists | 5.0.0 |
| Függőségi ügynök üzembe helyezése Linux rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival | Ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és az ügynök nincs telepítve, telepítse a függőségi ügynököt Linux rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival. | DeployIfNotExists, Disabled | 3.1.1 |
| A Függőségi ügynök üzembe helyezése a Windows rendszerű virtuálisgép-méretezési csoportokon való engedélyezéshez az Azure Monitoring Agent beállításaival | A Függőségi ügynök üzembe helyezése Windows rendszerű virtuálisgép-méretezési csoportokhoz az Azure Monitoring Agent beállításaival, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. Ha a méretezési csoport upgradePolicy beállítása manuális, a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítéssel. | DeployIfNotExists, Disabled | 1.2.2 |
| A függőségi ügynök üzembe helyezése a Windows rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival engedélyezve | A függőségi ügynök üzembe helyezése Windows rendszerű virtuális gépeken az Azure Monitoring Agent beállításaival, ha a virtuális gép lemezképe szerepel a definiált listában, és az ügynök nincs telepítve. | DeployIfNotExists, Disabled | 1.2.2 |
| Diagnosztikai Gépház üzembe helyezése Batch-fiókhoz az Event Hubon | Üzembe helyezi a Batch-fiók diagnosztikai beállításait egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó Batch-fiók létrejön vagy frissül. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése Batch-fiókhoz a Log Analytics-munkaterületen | Üzembe helyezi a Batch-fiók diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Batch-fiók létrejön vagy frissül. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Data Lake Analyticshez az Event Hubon | A Data Lake Analytics diagnosztikai beállításainak üzembe helyezése egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó Data Lake Analytics létrejön vagy frissül. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Data Lake Analyticshez a Log Analytics-munkaterületen | Üzembe helyezi a Data Lake Analytics diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Data Lake Analytics-beállítások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése az 1. generációs Data Lake Storage-hoz az Event Hubon | Üzembe helyezi a Data Lake Storage Gen1 diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen, amikor a rendszer létrehozza vagy frissíti a diagnosztikai beállításokat hiányzó Data Lake Storage Gen1-et. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Data Lake Storage Gen1-hez a Log Analytics-munkaterületen | Üzembe helyezi a Data Lake Storage Gen1 diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Data Lake Storage Gen1-et létrehozza vagy frissíti. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése az Event Hubhoz az Event Hubon | Üzembe helyezi az Event Hub diagnosztikai beállításait egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó eseményközpontok létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.1.0 |
| Diagnosztikai Gépház üzembe helyezése Event Hubhoz a Log Analytics-munkaterületen | Üzembe helyezi az Event Hub diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó eseményközpontok létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Key Vaulthoz a Log Analytics-munkaterületen | Üzembe helyezi a Key Vault diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Key Vault létrejön vagy frissül. | DeployIfNotExists, Disabled | 3.0.0 |
| Diagnosztikai Gépház üzembe helyezése Logic Appshez az Event Hubon | Üzembe helyezi a Logic Apps diagnosztikai beállításait egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó Logic Apps-alkalmazások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.0 |
| A Logic Apps diagnosztikai Gépház üzembe helyezése a Log Analytics-munkaterületen | Üzembe helyezi a Logic Apps diagnosztikai beállításait egy regionális Log Analytics-munkaterületre való streameléshez, amikor a diagnosztikai beállításokat hiányzó Logic Apps-alkalmazások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése hálózati biztonsági csoportokhoz | Ez a szabályzat automatikusan üzembe helyezi a diagnosztikai beállításokat a hálózati biztonsági csoportokban. A rendszer automatikusan létrehoz egy "{storagePrefixParameter}{NSGLocation}" nevű tárfiókot. | deployIfNotExists | 2.0.1 |
| Diagnosztikai Gépház üzembe helyezése keresési szolgáltatásokhoz az Event Hubon | A Keresési szolgáltatások diagnosztikai beállításainak üzembe helyezése egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó keresési szolgáltatások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Search Serviceshez a Log Analytics-munkaterületen | Üzembe helyezi a Keresési szolgáltatások diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljenek, amikor a diagnosztikai beállításokat hiányzó Keresési szolgáltatások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.0 |
| Diagnosztikai Gépház üzembe helyezése Service Bushoz az Event Hubon | Üzembe helyezi a Service Bus diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen, amikor a diagnosztikai beállításokat hiányzó Service Bus-szolgáltatások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Service Bushoz a Log Analytics-munkaterületen | Üzembe helyezi a Service Bus diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljen, amikor a diagnosztikai beállításokat hiányzó Service Bus létrejön vagy frissül. | DeployIfNotExists, Disabled | 2.1.0 |
| Diagnosztikai Gépház üzembe helyezése Stream Analyticshez az Event Hubon | Üzembe helyezi a Stream Analytics diagnosztikai beállításait egy regionális eseményközpontba való streameléshez, amikor a diagnosztikai beállításokat hiányzó Stream Analytics létrejön vagy frissül. | DeployIfNotExists, Disabled | 2.0.0 |
| Diagnosztikai Gépház üzembe helyezése a Stream Analyticshez a Log Analytics-munkaterületen | Üzembe helyezi a Stream Analytics diagnosztikai beállításait, hogy egy regionális Log Analytics-munkaterületre streameljenek, amikor a diagnosztikai beállításokat hiányzó Stream Analytics-beállítások létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 1.0.0 |
| Log Analytics-bővítmény üzembe helyezése Linux rendszerű virtuálisgép-méretezési csoportokhoz. Lásd alább az elavulással kapcsolatos közleményt | Telepítse a Log Analytics-bővítményt Linux rendszerű virtuálisgép-méretezési csoportokhoz, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és a bővítmény nincs telepítve. Megjegyzés: ha a méretezési csoport upgradePolicy beállítása manuális, akkor a bővítményt a készlet összes virtuális gépére alkalmaznia kell a frissítés meghívásával. A parancssori felületen ez az az vmss update-instances lenne. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | deployIfNotExists | 3.0.0 |
| Log Analytics-bővítmény üzembe helyezése Linux rendszerű virtuális gépekhez. Lásd alább az elavulással kapcsolatos közleményt | Telepítse a Log Analytics-bővítményt Linux rendszerű virtuális gépekhez, ha a virtuálisgép-rendszerkép (OS) szerepel a definiált listában, és a bővítmény nincs telepítve. Elavulással kapcsolatos értesítés: A Log Analytics-ügynök elavult, és 2024. augusztus 31. után nem támogatott. Az adott dátum előtt át kell költöznie a helyettesítő "Azure Monitor-ügynökbe". | deployIfNotExists | 3.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az API Management-szolgáltatásokhoz készült Event Hubra (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az API Management-szolgáltatásokhoz (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az API Management-szolgáltatásokhoz (microsoft.apimanagement/service) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók API Management-szolgáltatásokhoz (microsoft.apimanagement/service) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for App Configuration -ba (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az alkalmazáskonfigurációhoz (microsoft.appconfiguration/configurationstores) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy alkalmazáskonfigurációs tárfiókba (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az App Service-hez (microsoft.web/sites) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az App Service Log Analytics-munkaterületére (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az alkalmazáscsoporthoz (microsoft.desktopvirtualization/applicationgroups) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Virtual Desktop-alkalmazáscsoporthoz (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Alkalmazás Elemzések (Microsoft.Elemzések/components) a Log Analyticshez | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Alkalmazás Elemzések (Microsoft.Elemzések/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Igazolásszolgáltatók (microsoft.attestation/attestationproviders) számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy eseményközpontba az igazolásszolgáltatók számára (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az igazolási szolgáltatók (microsoft.attestation/attestationproviders) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az igazolásszolgáltatók (microsoft.attestation/attestationproviders) számára. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az igazolási szolgáltatók (microsoft.attestation/attestationproviders) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak az igazolásszolgáltatók (microsoft.attestation/attestationproviders) tárfiókjába való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Automation-fiókok (microsoft.automation/automationaccounts) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Automation-fiókba (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként automation-fiókokhoz (microsoft.automation/automationaccounts) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Automation-fiókok (microsoft.automation/automationaccounts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként automation-fiókok (microsoft.automation/automationaccounts) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók automation-fiókokhoz (microsoft.automation/automationaccounts) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az AVS magánfelhőihez (microsoft.avs/privateclouds) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók AVS-alapú magánfelhőkhöz (microsoft.avs/privateclouds) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az AVS magánfelhők (microsoft.avs/privateclouds) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók AVS-magánfelhőkhöz (microsoft.avs/privateclouds) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az AVS magánfelhők (microsoft.avs/privateclouds) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók AVS-magánfelhők (microsoft.avs/privateclouds) tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Cache for Redishez (microsoft.cache/redis) az Event Hubra | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók átirányításához az Azure Cache for Redis eseményközpontjába (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Cache for Redishez (microsoft.cache/redis) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Cache for Redishez (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Cache for Redishez (microsoft.cache/redis) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók átirányításához egy Azure Cache for Redis-tárfiókhoz (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Cosmos DB-hez (microsoft.documentdb/databaseaccounts) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Cosmos DB-hez (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure FarmBeatshez (microsoft.agfoodplatform/farmbeats) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Azure FarmBeats-eseményközpontba (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure FarmBeats (microsoft.agfoodplatform/farmbeats) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure FarmBeats számára (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure FarmBeats (microsoft.agfoodplatform/farmbeats) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Azure FarmBeats-tárfiókba (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Machine Tanulás (microsoft.machinelearningservices/workspaces) eseményközpontba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Azure Machine-Tanulás (microsoft.machinelearningservices/workspaces) eseményközpontba. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Machine Tanulás (microsoft.machinelearningservices/workspaces) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Machine Tanulás (microsoft.machinelearningservices/workspaces) számára. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Azure Machine Tanulás (microsoft.machinelearningservices/workspaces) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Azure Machine-Tanulás (microsoft.machinelearningservices/workspaces) tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Bastionsba (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Bastions (microsoft.network/bastionhosts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Bastions (microsoft.network/bastionhosts) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Bastions-tárfiókba (microsoft.network/bastionhosts) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Cognitive Services (microsoft.cognitiveservices/accounts) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Cognitive Servicesbe (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Cognitive Serviceshez (microsoft.cognitiveservices/accounts) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Cognitive Services (microsoft.cognitiveservices/accounts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Cognitive Serviceshez (microsoft.cognitiveservices/accounts) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít át egy Cognitive Services-tárfiókba (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a tárolóregisztrációs eseményközpontba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/registries) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs adatbázisokhoz (microsoft.containerregistry/regiszries) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A tárolóregisztrációs adatbázisok (microsoft.containerregistry/registries) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tárolóregisztrációs tárfiókba (microsoft.containerregistry/regiszries) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Grid-tartományok (microsoft.eventgrid/domains) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók event grid-tartományokhoz (microsoft.eventgrid/domains) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Grid-tartományokhoz (microsoft.eventgrid/domains) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Grid-tartományok (microsoft.eventgrid/domains) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Grid-tartományokhoz (microsoft.eventgrid/domains) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Event Grid-tartományokhoz (microsoft.eventgrid/domains) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Grid-partnernévterek (microsoft.eventgrid/partnernamespaces) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Event Grid-partnernévterekhez (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Az Event Grid-partnernévterek (microsoft.eventgrid/partnernamespaces) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Grid-partnernévterek (microsoft.eventgrid/partnernamespaces) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Grid-partnernévterek (microsoft.eventgrid/partnernamespaces) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Grid-partnernévterek tárfiókjába (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Grid-témakörökhöz (microsoft.eventgrid/topics) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Event Grid-témakörökhöz (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Grid-témakörökhöz (microsoft.eventgrid/topics) a Log Analyticshez | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Event Grid-témakörökhöz (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Grid-témakörökhöz (microsoft.eventgrid/topics) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Grid-témakörök tárfiókjába (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az Event Hubs-névterekhez (microsoft.eventhub/namespaces) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók event hub for Event Hubs-névterekhez (microsoft.eventhub/namespaces) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Az Event Hubs-névterek (microsoft.eventhub/namespaces) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Hubs-névterek (microsoft.eventhub/namespaces) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Az Event Hubs-névterek (microsoft.eventhub/namespaces) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az Event Hubs-névterek tárfiókjába (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a tűzfalhoz (microsoft.network/azurefirewalls) a Log Analyticshez | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók tűzfalhoz készült Log Analytics-munkaterületre (microsoft.network/azurefirewalls) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Front Door- és CDN-profilok (microsoft.cdn/profiles) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Front Door- és CDN-profilokhoz (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.cdn/profiles) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Log Analytics-munkaterületre Front Door- és CDN-profilokhoz (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.cdn/profiles) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók front door- és CDN-profilok (microsoft.cdn/profiles) tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) az Event Hubra | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Front Door- és CDN-profilokhoz (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Log Analytics-munkaterületre Front Door- és CDN-profilokhoz (microsoft.network/frontdoor). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Front Door- és CDN-profilokhoz (microsoft.network/frontdoors) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók front door- és CDN-profilokhoz (microsoft.network/frontdoors) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Függvényalkalmazáshoz (microsoft.web/sites) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Függvényalkalmazás Log Analytics-munkaterületére (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a gazdagépkészlethez (microsoft.desktopvirtualization/hostpools) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Virtual Desktop Gazdagépkészlethez (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hub-eseményközpontba (microsoft.devices/iothubs) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hubhoz (microsoft.devices/iothubs) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként az IoT Hubhoz (microsoft.devices/iothubs) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók IoT Hub-tárfiókba (microsoft.devices/iothubs) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A kulcstartók (microsoft.keyvault/vaultok) kategóriánkénti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kulcstartókhoz készült Event Hubba (microsoft.keyvault/vaults) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Kulcstartókhoz (microsoft.keyvault/vaults) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók key vaultokhoz (microsoft.keyvault/vaults) készült Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A kulcstartók (microsoft.keyvault/vaultok) kategóriánkénti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kulcstartókhoz készült tárfiókba (microsoft.keyvault/vaults) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Log Analytics-munkaterületekhez (microsoft.operationalinsights/workspaces) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Log Analytics-munkaterületre (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A Log Analytics-munkaterületek (microsoft.operationalinsights/workspaces) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Log Analytics-munkaterületekre (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Log Analytics-munkaterületekhez (microsoft.operationalinsights/workspaces) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Log Analytics-munkaterületek tárfiókjába (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ek (microsoft.keyvault/managedhsms) eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ek (microsoft.keyvault/managedhsms) Log Analytics-munkaterületére való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként felügyelt HSM-ekhez (microsoft.keyvault/managedhsms) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók felügyelt HSM-ekhez készült tárfiókba (microsoft.keyvault/managedhsms) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Media Serviceshez (microsoft.media/mediaservices) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Media Servicesbe (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Media Serviceshez (microsoft.media/mediaservices) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Media Services (microsoft.media/mediaservices) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Media Services (microsoft.media/mediaservices) kategóriánkénti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Media Services-tárfiókba (microsoft.media/mediaservices) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft Purview-fiókok (microsoft.purview/accounts) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Microsoft Purview-fiókokhoz (microsoft.purview/accounts) készült Eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Microsoft Purview-fiókokhoz (microsoft.purview/accounts) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Microsoft Purview-fiókok (microsoft.purview/accounts) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Microsoft Purview-fiókok (microsoft.purview/accounts) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók Microsoft Purview-fiókokhoz (microsoft.purview/accounts) tartozó tárfiókhoz való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways számára az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.network/p2svpngateways eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a microsoft.network/p2svpngateways Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a microsoft.network/p2svpngateways tárolóba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók microsoft.network/p2svpngateways tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A rugalmas PostgreSQL-kiszolgáló (microsoft.dbforpostgresql/flexibleservers) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók rugalmas Azure Database for PostgreSQL-kiszolgálóhoz (microsoft.dbforpostgresql/flexibleservers) tartozó Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként nyilvános IP-címekhez (microsoft.network/publicipaddresses) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplóknak a nyilvános IP-címek (microsoft.network/publicipaddresses) eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Naplózás engedélyezése kategóriacsoportonként nyilvános IP-címekhez (microsoft.network/publicipaddresses) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre nyilvános IP-címekhez (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a nyilvános IP-címekhez (microsoft.network/publicipaddresses) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók átirányításához nyilvános IP-címek tárfiókjába (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A Service Bus-névterek (microsoft.servicebus/namespaces) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Service Bus-névterekhez készült Event Hubra (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A Service Bus-névterek (microsoft.servicebus/namespaces) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Service Bus-névterek (microsoft.servicebus/namespaces) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Service Bus-névterek (microsoft.servicebus/namespaces) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Service Bus-névterek tárfiókjába (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a SignalR (microsoft.signalrservice/signalr) eseményközpontba történő naplózásához | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for SignalR-be (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a SignalR (microsoft.signalrservice/signalr) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a SignalR (microsoft.signalrservice/signalr) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a SignalR (microsoft.signalrservice/signalr) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a SignalR-tárfiókba (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-adatbázisok (microsoft.sql/kiszolgálók/adatbázisok) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók SQL-adatbázisokhoz (microsoft.sql/kiszolgálókhoz/adatbázisokhoz) tartozó Eseményközpontba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Az SQL-adatbázisok (microsoft.sql/kiszolgálók/adatbázisok) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók SQL-adatbázisokhoz (microsoft.sql/kiszolgálókhoz/adatbázisokhoz) tartozó Log Analytics-munkaterületre való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Az SQL-adatbázisok (microsoft.sql/kiszolgálók/adatbázisok) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók SQL-adatbázisokhoz (microsoft.sql/kiszolgálókhoz/adatbázisokhoz) tartozó tárfiókba való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A felügyelt SQL-példányok (microsoft.sql/managedinstances) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy felügyelt SQL-példányok (microsoft.sql/felügyelt példányok) eseményközpontjába. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Felügyelt SQL-példányok (microsoft.sql/felügyelt példányok) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a felügyelt SQL-példányok (microsoft.sql/felügyelt példányok) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Felügyelt SQL-példányok (microsoft.sql/felügyelt példányok) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a felügyelt SQL-példányok (microsoft.sql/felügyelt példányok) tárfiókjába. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A videóelemzők (microsoft.media/videoanalyzers) kategóriánkénti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Video Analyzersbe (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a Videóelemzők (microsoft.media/videoanalyzers) számára a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók videoelemzők számára készült Log Analytics-munkaterületre (microsoft.media/videoanalyzers) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Video Analyzers (microsoft.media/videoanalyzers) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók videoelemzők számára készült tárfiókba (microsoft.media/videoanalyzers) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárókhoz (microsoft.network/virtualnetworkgateways) az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, a naplók átirányításához egy Event Hub for Virtual Hálózati átjárókhoz (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárókhoz (microsoft.network/virtualnetworkgateways) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a virtuális hálózati átjárók (microsoft.network/virtualnetworkgateways) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a virtuális hálózati átjárók (microsoft.network/virtualnetworkgateways) számára a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a virtuális hálózati átjárók tárfiókjába (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként kötetekhez (microsoft.netapp/netappaccounts/capacitypools/volumes) az Event Hubra | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kötetekhez készült Eseményközpontba való átirányításához (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Naplózás engedélyezése kategóriacsoportonként kötetekhez (microsoft.netapp/netappaccounts/capacitypools/volumes) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kötetekhez készült Log Analytics-munkaterületre való átirányításához (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A kötetek (microsoft.netapp/netappaccounts/capacitypools/volumes) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók kötetekhez készült tárfiókba (microsoft.netapp/netappaccounts/capacitypools/volumes) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Web PubSub Service (microsoft.signalrservice/webpubsub) naplózásának engedélyezése kategóriacsoportonként az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for Web PubSub Service-be (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| A Web PubSub Service (microsoft.signalrservice/webpubsub) naplózásának engedélyezése kategóriacsoportonként a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Web PubSub Service Log Analytics-munkaterületére (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Web PubSub Service (microsoft.signalrservice/webpubsub) kategóriacsoport szerinti naplózásának engedélyezése a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával a naplók web pubSub-szolgáltatáshoz (microsoft.signalrservice/webpubsub) való átirányításához. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Naplózás engedélyezése kategóriacsoportonként a Munkaterülethez (microsoft.desktopvirtualization/workspaces) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Log Analytics-munkaterületre az Azure Virtual Desktop-munkaterülethez (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| A Linux Arc-kompatibilis gépeken telepítve kell lennie az Azure Monitor-ügynöknek | A Linux Arc-kompatibilis gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat az Arc-kompatibilis gépeket fogja naplózni a támogatott régiókban. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| A Linux rendszerű virtuálisgép-méretezési csoportoknak telepítve kell lenniük az Azure Monitor-ügynökkel | A Linux rendszerű virtuálisgép-méretezési csoportokat az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat a támogatott régiókban támogatott operációsrendszer-rendszerképekkel rendelkező virtuálisgép-méretezési csoportokat naplózza. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Linux rendszerű virtuális gépeken telepítve kell lennie az Azure Monitor Agentnek | A Linux rendszerű virtuális gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. Ez a szabályzat a támogatott régiókban támogatott operációsrendszer-rendszerképekkel rendelkező virtuális gépeket naplóz. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| A Log Analytics-bővítményt engedélyezni kell a virtuálisgép-méretezési csoportokban a felsorolt virtuálisgép-rendszerképekhez | Nem megfelelőként jelenti a virtuálisgép-méretezési csoportokat, ha a virtuális gép lemezképe nem szerepel a definiált listában, és a bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 2.0.1 |
| A Log Analytics-munkaterületeknek blokkolnia kell a naplóbetöltést és a nyilvános hálózatokról való lekérdezést | A munkaterület biztonságának javítása a naplóbetöltés és a nyilvános hálózatokról való lekérdezés letiltásával. Ezen a munkaterületen csak a privát kapcsolattal rendelkező hálózatok tudnak naplókat beszedni és lekérdezni. További információ: https://aka.ms/AzMonPrivateLink#configure-log-analytics. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Log Analytics-munkaterületeknek blokkolnia kell a nem Azure Active Directory-alapú betöltést. | A naplóbetöltés kényszerítése az Azure Active Directory-hitelesítés megkövetelése érdekében megakadályozza, hogy a támadó nem hitelesített naplókat használjon, amelyek helytelen állapothoz, téves riasztásokhoz és helytelen naplókhoz vezethetnek a rendszerben. | Megtagadás, naplózás, letiltva | 1.0.0 |
| A nyilvános IP-címeknek engedélyezniük kell az erőforrásnaplókat az Azure DDoS Protectionhez | Engedélyezze az erőforrásnaplókat a diagnosztikai beállítások nyilvános IP-címeinek erőforrásnaplóihoz a Log Analytics-munkaterületre való streameléshez. Részletes betekintést kaphat a támadási forgalomba és az értesítéseken, jelentéseken és folyamatnaplókon keresztül végrehajtott DDoS-támadások enyhítésére tett műveletekbe. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Az erőforrásnaplókat engedélyezni kell a támogatott erőforrások naplózásához | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. A kiválasztott erőforrástípusok kategóriacsoport-naplózási diagnosztikai beállításának megléte biztosítja, hogy ezek a naplók engedélyezve legyenek és rögzítve legyenek. Az alkalmazható erőforrástípusok azok, amelyek támogatják a "Naplózás" kategóriacsoportot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni | Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A tevékenységnaplókkal rendelkező tárolót tartalmazó tárfiókot BYOK-tal kell titkosítani | Ez a szabályzat naplózza, hogy a tevékenységnaplókkal rendelkező tárolót tartalmazó Storage-fiók titkosítva van-e a BYOK-tal. A szabályzat csak akkor működik, ha a tárfiók ugyanazon az előfizetésen található, mint a tevékenységnaplók. További információt az Azure Storage inaktív titkosításáról itt https://aka.ms/azurestoragebyoktalál. | AuditIfNotExists, Disabled | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető az Azure Arc-kompatibilis Linux-kiszolgálókra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden jövőbeli telepítését az Azure Arc-kompatibilis Linux-kiszolgálókon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető az Azure Arc-kompatibilis Windows-kiszolgálókra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését az Azure Arc-kompatibilis Windows-kiszolgálókon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető Linux rendszerű virtuálisgép-méretezési csoportokra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. Miután eltávolította a meglévő örökölt bővítményeket, ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését Linux rendszerű virtuálisgép-méretezési csoportokon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető Linux rendszerű virtuális gépekre | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését Linux rendszerű virtuális gépeken. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető virtuálisgép-méretezési csoportokra | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden későbbi telepítését a Windows rendszerű virtuálisgép-méretezési csoportokon. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| Az örökölt Log Analytics-bővítmény nem telepíthető virtuális gépekre | Automatikusan megakadályozza az örökölt Log Analytics-ügynök telepítését az örökölt ügynökökből az Azure Monitor Agentbe való migrálás utolsó lépéseként. A meglévő örökölt bővítmények eltávolítása után ez a szabályzat megtagadja az örökölt ügynökbővítmény minden jövőbeli telepítését Windows rendszerű virtuális gépeken. Tudj meg többet: https://aka.ms/migratetoAMA | Megtagadás, naplózás, letiltva | 1.0.0 |
| A Log Analytics-bővítményt telepíteni kell a virtuálisgép-méretezési csoportokra | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuálisgép-méretezési csoportokat, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuális gépeket egy megadott munkaterülethez kell csatlakoztatni | Nem megfelelőként jelenti a virtuális gépeket, ha nem jelentkeznek be a szabályzat/kezdeményezés hozzárendelésében megadott Log Analytics-munkaterületre. | AuditIfNotExists, Disabled | 1.1.0 |
| A virtuális gépeken telepítve kell lennie a Log Analytics-bővítménynek | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1 |
| A Windows Arc-kompatibilis gépeken telepítve kell lennie az Azure Monitor Agentnek | A Windows Arc-kompatibilis gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott régiókban lévő Windows Arc-kompatibilis gépeket az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| A Windows rendszerű virtuálisgép-méretezési csoportoknak telepítve kell lenniük az Azure Monitor-ügynökkel | A Windows rendszerű virtuálisgép-méretezési csoportokat az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott operációs rendszerrel és támogatott régiókban lévő virtuálisgép-méretezési csoportokat az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| A Windows rendszerű virtuális gépeken telepítve kell lennie az Azure Monitor Agentnek | A Windows rendszerű virtuális gépeket az üzembe helyezett Azure Monitor-ügynökön keresztül kell figyelni és védeni. Az Azure Monitor-ügynök telemetriai adatokat gyűjt a vendég operációs rendszerből. A támogatott operációs rendszerrel és támogatott régiókban lévő Windows rendszerű virtuális gépeket az Azure Monitor Agent üzembe helyezése figyeli. További információ: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| A munkafüzeteket az Ön által vezérelt tárfiókokba kell menteni | A saját tárterület (BYOS) használatával a munkafüzetek egy Ön által vezérelhető tárfiókba lesznek feltöltve. Ez azt jelenti, hogy ön szabályozza a inaktív állapotú titkosítási szabályzatot, az élettartam-kezelési szabályzatot és a hálózati hozzáférést. Ön lesz azonban a felelős a tárfiókhoz kapcsolódó költségekért. További információ: https://aka.ms/workbooksByos | deny, Deny, audit, Audit, disabled, Disabled | 1.1.0 |
Network (Hálózat)
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan tárolóregisztrációs adatbázist, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0-előzetes verzió |
| Egyéni IPsec/IKE-szabályzatot kell alkalmazni az összes Azure-beli virtuális hálózati átjárókapcsolatra | Ez a szabályzat biztosítja, hogy minden Azure-beli virtuális hálózati átjáró-kapcsolat egyéni Ipsec-/Internet Key Exchange-szabályzatot (IKE) használjon. Támogatott algoritmusok és kulcserősség – https://aka.ms/AA62kb0 | Naplózás, letiltva | 1.0.0 |
| Minden folyamatnapló-erőforrásnak engedélyezett állapotban kell lennie | Naplóerőforrások naplózása annak ellenőrzéséhez, hogy engedélyezve van-e a folyamatnapló állapota. A folyamatnaplók engedélyezésével naplózhatja az IP-forgalommal kapcsolatos információkat. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Az App Service-alkalmazásoknak virtuális hálózati szolgáltatásvégpontot kell használniuk | Virtuális hálózati szolgáltatásvégpontok használatával korlátozhatja az alkalmazáshoz való hozzáférést egy Azure-beli virtuális hálózat kiválasztott alhálózataiból. Ha többet szeretne megtudni az App Service-szolgáltatás végpontjairól, látogasson el https://aka.ms/appservice-vnet-service-endpointide. | AuditIfNotExists, Disabled | 2.0.1 |
| Folyamatnaplók konfigurációjának naplózása minden virtuális hálózathoz | A virtuális hálózat naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a virtuális hálózaton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.0.1 |
| Azure-alkalmazás Átjárót az Azure WAF-ben kell üzembe helyezni | Az Azure WAF-ben üzembe kell helyezni Azure-alkalmazás átjáróerőforrásokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure tűzfalszabályzatának engedélyeznie kell a TLS-ellenőrzést az alkalmazásszabályokon belül | A TLS-ellenőrzés engedélyezése minden alkalmazásszabály esetében ajánlott a HTTPS-ben a rosszindulatú tevékenységek észlelésére, riasztására és enyhítésére. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Firewall Premiumnak konfigurálnia kell egy érvényes köztes tanúsítványt a TLS-vizsgálat engedélyezéséhez | Konfiguráljon egy érvényes köztes tanúsítványt, és engedélyezze az Azure Firewall Premium TLS-vizsgálatát a HTTPS-ben végzett rosszindulatú tevékenységek észleléséhez, riasztásához és csökkentéséhez. Ha többet szeretne megtudni az Azure Firewall TLS-vizsgálatáról, látogasson el a https://aka.ms/fw-tlsinspect | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure VPN-átjárók nem használhatják az "alapszintű" termékváltozatot | Ez a szabályzat biztosítja, hogy a VPN-átjárók ne használják az "alapszintű" termékváltozatot. | Naplózás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyezve kell lennie az Azure-alkalmazás-átjárón a kérelem törzsvizsgálatának | Győződjön meg arról, hogy a Azure-alkalmazás átjárókhoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelem törzsvizsgálata. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web Application Firewallnak engedélyeznie kell az Azure Front Dooron a kérelem törzsvizsgálatát | Győződjön meg arról, hogy az Azure Front Doorshoz társított webalkalmazási tűzfalak engedélyezve vannak a kérelemtörzs ellenőrzésében. Ez lehetővé teszi, hogy a WAF megvizsgálja a HTTP-törzs azon tulajdonságait, amelyeket nem lehet kiértékelni a HTTP-fejlécekben, a cookie-kban vagy az URI-ban. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A botvédelmet engedélyezni kell Azure-alkalmazás átjáró WAF-jén | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure-alkalmazás Átjáró webalkalmazási tűzfal (WAF) házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Protectiont engedélyezni kell az Azure Front Door WAF-hez | Ez a szabályzat biztosítja, hogy a robotvédelem minden Azure Front Door Web Application Firewall-házirendben engedélyezve legyen | Naplózás, megtagadás, letiltva | 1.0.0 |
| A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülési listájának üresnek kell lennie a Premium tűzfalszabályzatban | A behatolásészlelési és -megelőzési rendszer (IDPS) megkerülő listája lehetővé teszi, hogy ne szűrje a forgalmat a megkerülő listában megadott IP-címekre, tartományokra és alhálózatokra. Az IDPS engedélyezését azonban minden forgalom esetében újra kell írni az ismert fenyegetések jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| Diagnosztikai beállítások konfigurálása azure-beli hálózati biztonsági csoportokhoz a Log Analytics-munkaterületre | Diagnosztikai beállítások üzembe helyezése az Azure Hálózati biztonsági csoportokban az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez. | DeployIfNotExists, Disabled | 1.0.0 |
| Hálózati biztonsági csoportok konfigurálása a forgalomelemzés engedélyezéséhez | A forgalomelemzés egy adott régióban üzemeltetett összes hálózati biztonsági csoport számára engedélyezhető a szabályzat létrehozása során megadott beállításokkal. Ha már engedélyezve van a Traffic Analytics, akkor a szabályzat nem írja felül a beállításait. A folyamatnaplók azokhoz a hálózati biztonsági csoportokhoz is engedélyezve vannak, amelyek nem rendelkeznek vele. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Hálózati biztonsági csoportok konfigurálása adott munkaterület, tárfiók és folyamatnapló-adatmegőrzési szabályzat használatára a forgalomelemzéshez | Ha már engedélyezve van a forgalomelemzés, akkor a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.2.0 |
| Virtuális hálózat konfigurálása a Flow Log és a Traffic Analytics engedélyezéséhez | A forgalomelemzés és a flow-naplók egy adott régióban üzemeltetett összes virtuális hálózat esetében engedélyezhetők a szabályzat létrehozása során megadott beállításokkal. Ez a szabályzat nem írja felül azoknak a virtuális hálózatoknak az aktuális beállítását, amelyeken már engedélyezve van ez a funkció. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.1 |
| Virtuális hálózatok konfigurálása a munkaterület, a tárfiók és a megőrzési időköz kényszerítéséhez a Flow-naplókhoz és a Traffic Analyticshez | Ha egy virtuális hálózatban már engedélyezve van a forgalomelemzés, akkor ez a szabályzat felülírja a meglévő beállításait a szabályzat létrehozásakor megadottakkal. A Traffic Analytics egy felhőalapú megoldás, amely betekintést nyújt a felhőhálózatok felhasználói és alkalmazástevékenységeibe. | DeployIfNotExists, Disabled | 1.1.2 |
| A Cosmos DB-nek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Cosmos DB-t, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| Folyamatnapló-erőforrás üzembe helyezése célhálózati biztonsági csoporttal | Konfigurálja a folyamatnaplót adott hálózati biztonsági csoporthoz. Lehetővé teszi a hálózati biztonsági csoporton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | deployIfNotExists | 1.1.0 |
| Folyamatnapló-erőforrás üzembe helyezése cél virtuális hálózattal | Konfigurálja a folyamatnaplót adott virtuális hálózathoz. Lehetővé teszi a virtuális hálózaton áthaladó IP-forgalomra vonatkozó adatok naplózását. A folyamatnapló segít azonosítani az ismeretlen vagy nem kívánt forgalmat, ellenőrizni a hálózatelkülönítést és a vállalati hozzáférési szabályoknak való megfelelést, elemezni a sérült IP-címekről és hálózati adapterekből származó hálózati folyamatokat. | DeployIfNotExists, Disabled | 1.1.1 |
| Network Watcher üzembe helyezése virtuális hálózatok létrehozásakor | Ez a szabályzat létrehoz egy hálózatfigyelő erőforrást a virtuális hálózatokkal rendelkező régiókban. Meg kell győződnie arról, hogy létezik egy networkWatcherRG nevű erőforráscsoport, amely a Network Watcher-példányok üzembe helyezéséhez lesz használva. | DeployIfNotExists | 1.0.0 |
| Sebességkorlát-szabály engedélyezése az Azure Front Door WAF DDoS-támadásai elleni védelemhez | Az Azure Web Application Firewall (WAF) sebességkorlátozási szabálya az Azure Front Door esetében szabályozza az adott ügyfél IP-címéről az alkalmazásra irányuló kérések számát a sebességkorlát időtartama alatt. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Event Hubnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan eseményközpontot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, Disabled | 1.0.0 |
| A tűzfalszabályzat prémium verziójának engedélyeznie kell az összes IDPS-aláírási szabályt az összes bejövő és kimenő forgalom figyeléséhez | Az összes behatolásészlelési és megelőzési rendszer (IDPS) aláírási szabályának engedélyezését a rendszer újrakonfigurálja a forgalom ismert fenyegetéseinek jobb azonosítása érdekében. Ha többet szeretne megtudni az Intrusion Detection and Prevention System (IDPS) aláírásokról az Azure Firewall Premium használatával, látogasson el https://aka.ms/fw-idps-signature | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Premium tűzfalszabályzatnak engedélyeznie kell a behatolásészlelési és -megelőzési rendszert (IDPS) | A behatolásészlelési és -megelőzési rendszer (IDPS) lehetővé teszi a hálózat rosszindulatú tevékenységek figyelését, a tevékenység naplóadatainak naplózását, jelentéskészítését és letiltásának megkísérlését. Ha többet szeretne megtudni a behatolásészlelési és -megelőzési rendszerről (IDPS) az Azure Firewall Premium használatával, látogasson el a https://aka.ms/fw-idps | Naplózás, megtagadás, letiltva | 1.0.0 |
| A folyamatnaplókat minden hálózati biztonsági csoporthoz konfigurálni kell | Hálózati biztonsági csoportok naplózása annak ellenőrzéséhez, hogy a folyamatnaplók konfigurálva vannak-e. A folyamatnaplók engedélyezésével naplózhatja a hálózati biztonsági csoporton áthaladó IP-forgalom adatait. Használható a hálózati folyamatok optimalizálására, az átviteli sebesség figyelésére, a megfelelőség ellenőrzésére, a behatolások észlelésére és egyebekre. | Naplózás, letiltva | 1.1.0 |
| Az átjáróalhálózatokat nem szabad hálózati biztonsági csoporttal konfigurálni | Ez a szabályzat tagadja, hogy egy átjáróalhálózat hálózati biztonsági csoporttal van-e konfigurálva. Ha hálózati biztonsági csoportot rendel egy átjáróalhálózathoz, az az átjáró működését leállítja. | elutasítás | 1.0.0 |
| A Key Vaultnak virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan Key Vaultot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| WAF migrálása WAF-konfigurációból WAF-szabályzatba az Application Gatewayen | Ha WAF-szabályzat helyett WAF-konfigurációval rendelkezik, akkor érdemes lehet az új WAF-szabályzatra váltania. A tűzfalszabályzat a jövőben támogatja a WAF-házirend beállításait, a felügyelt szabálykészleteket, a kizárásokat és a letiltott szabálycsoportokat. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereknek le kell tiltania az IP-továbbítást | Ez a szabályzat nem engedélyezi az IP-továbbítást engedélyező hálózati adaptereket. Az IP-továbbítás beállítása letiltja az Azure-nak a hálózati adapter forrásának és céljának ellenőrzését. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A hálózati adaptereknek nem szabad nyilvános IP-címekkel rendelkezniük | Ez a szabályzat tagadja a nyilvános IP-címmel konfigurált hálózati adaptereket. A nyilvános IP-címek lehetővé teszik az internetes erőforrások bejövő kommunikációját az Azure-erőforrásokkal, valamint az Azure-erőforrások kimenő internetes kommunikációját. Ezt a hálózati biztonsági csapatnak kell áttekintenie. | elutasítás | 1.0.0 |
| A Network Watcher folyamatnaplóinak engedélyezniük kell a forgalomelemzést | A Traffic Analytics elemzi a folyamatnaplókat, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. Segítségével megjelenítheti a hálózati tevékenységeket az Azure-előfizetésekben, azonosíthatja a gyakori pontokat, azonosíthatja a biztonsági fenyegetéseket, megismerheti a forgalmi mintákat, rögzítheti a hálózati helytelen konfigurációkat stb. | Naplózás, letiltva | 1.0.1 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Az SQL Servernek virtuális hálózati szolgáltatásvégpontot kell használnia | Ez a szabályzat naplóz minden olyan SQL Servert, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | AuditIfNotExists, Disabled | 1.0.0 |
| A tárfiókok virtuális hálózati szolgáltatásvégpontot használnak | Ez a szabályzat naplóz minden olyan tárfiókot, amely nincs virtuális hálózati szolgáltatásvégpont használatára konfigurálva. | Naplózás, letiltva | 1.0.0 |
| Az előfizetésnek úgy kell konfigurálnia az Azure Firewall Premiumot, hogy további védelmi réteget biztosítson | Az Azure Firewall Premium fejlett veszélyforrások elleni védelmet nyújt, amely megfelel a rendkívül érzékeny és szabályozott környezetek igényeinek. Telepítse az Azure Firewall Premiumot az előfizetésében, és győződjön meg arról, hogy az összes szolgáltatásforgalmat az Azure Firewall Premium védi. Ha többet szeretne megtudni az Azure Firewall Premiumról, látogasson el a https://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| A virtuális gépeket jóváhagyott virtuális hálózathoz kell csatlakoztatni | Ez a szabályzat naplóz minden olyan virtuális gépet, amely nem jóváhagyott virtuális hálózathoz csatlakozik. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális hálózatokat az Azure DDoS Protectionnek kell védenie | Az Azure DDoS Protection használatával megvédheti virtuális hálózatait a mennyiségi és protokollos támadásoktól. További információ: https://aka.ms/ddosprotectiondocs. | Módosítás, naplózás, letiltva | 1.0.1 |
| A virtuális hálózatoknak a megadott virtuális hálózati átjárót kell használniuk | Ez a szabályzat minden virtuális hálózatot naplóz, ha az alapértelmezett útvonal nem a megadott virtuális hálózati átjáróra mutat. | AuditIfNotExists, Disabled | 1.0.0 |
| A VPN-átjáróknak csak Az Azure Active Directory (Azure AD) hitelesítését kell használniuk a pont–hely felhasználók számára | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy a VPN-átjárók csak Azure Active Directory-identitásokat használnak a hitelesítéshez. További információ az Azure AD-hitelesítésről: https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A webalkalmazási tűzfalnak (WAF) engedélyeznie kell az Application Gateway összes tűzfalszabályát | Az összes webalkalmazási tűzfal (WAF) szabály engedélyezése erősíti az alkalmazás biztonságát, és védi a webalkalmazásokat a gyakori biztonsági résekkel szemben. Ha többet szeretne megtudni a webalkalmazási tűzfalról (WAF) az Application Gateway használatával, látogasson el a https://aka.ms/waf-ag | Naplózás, megtagadás, letiltva | 1.0.1 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Application Gatewayhez | Az "Észlelés" vagy a "Megelőzés" mód használatát arra kötelezi, hogy aktív legyen az Application Gateway összes webalkalmazási tűzfalszabályzatán. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A webalkalmazási tűzfalnak (WAF) a megadott módot kell használnia az Azure Front Door Service-hez | Az "Észlelés" vagy a "Megelőzés" mód használatát az Azure Front Door Service webalkalmazási tűzfalszabályzatainak aktív használatára kötelezi. | Naplózás, megtagadás, letiltva | 1.0.0 |
Portál
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megosztott irányítópultok nem rendelkezhetnek beágyazott tartalommal rendelkező Markdown-csempékkel | Tiltsa le olyan megosztott irányítópult létrehozását, amely beágyazott tartalommal rendelkezik a Markdown-csempékben, és kényszerítse, hogy a tartalmat az interneten üzemeltetett Markdown-fájlként kell tárolni. Ha beágyazott tartalmat használ a Markdown csempén, nem kezelheti a tartalom titkosítását. A saját tároló konfigurálásával titkosíthatja, duplán titkosíthatja, és akár saját kulcsokat is használhat. A szabályzat engedélyezése korlátozza a felhasználók számára a megosztott irányítópultok REST API 2020-09-01-es vagy újabb verziójának használatát. | Naplózás, megtagadás, letiltva | 1.0.0 |
Rugalmasság
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az API Management Service-nek zónaredundánsnak kell lennie | Az API Management Service beállítható zónaredundánsként vagy nem. Az API Management Szolgáltatás zónaredundáns, ha a termékváltozat neve "Prémium", és legalább két bejegyzést tartalmaz a zónatömbben. Ez a szabályzat azonosítja az API Management Servicest, amely nem rendelkezik a zónakimaradás kezeléséhez szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.1-előzetes verzió |
| [Előzetes verzió]: Az App Service-csomagoknak zónaredundánsnak kell lenniük | Az App Service-csomagok zónaredundánsként is konfigurálhatók. Ha a "zoneRedundant" tulajdonság "false" (hamis) értékre van állítva egy App Service-csomag esetében, akkor a zónaredundancia nincs konfigurálva. Ez a szabályzat azonosítja és kikényszeríti az App Service-csomagok zónaredundancia-konfigurációját. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Application Gateway-átjáróknak zónarugalmasnak kell lenniük | Az Application Gateway-átjárók beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Application Gatewaysmthat haveexactly one entry in their zone array is considered Zone Aligned. Ezzel szemben az application Gatmways withn3 vagy több bejegyzés a zónatömbben zónaredundánsként lesz felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure AI Search Service-nek zónaredundánsnak kell lennie | Az Azure AI Search Service zónaredundánsként konfigurálható. A rendelkezésre állási zónák akkor használatosak, ha két vagy több replikát ad hozzá a keresési szolgáltatáshoz. Minden replika egy másik rendelkezésre állási zónába kerül a régión belül. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Cache for Redis Enterprise > Flashnek zónaredundánsnak kell lennie | Az Azure Cache for Redis Enterprise > Flash zónaredundánsként konfigurálható. Az Azure Cache for Redis Enterprise > Flash-példányok, amelyek zónatömbjében kevesebb mint 3 bejegyzés szerepel, nem zónaredundánsak. Ez a szabályzat azonosítja az Azure Cache for Redis Enterprise > Flash-példányokat, amely nem rendelkezik a zónakimaradás ellen való ellenálláshoz szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Cache for Redisnek zónaredundánsnak kell lennie | Az Azure Cache for Redis zónaredundánsként konfigurálható. A zónatömbben 2-nél kevesebb bejegyzést tartalmazó Azure Cache for Redis-példányok nem zónaredundánsak. Ez a szabályzat azonosítja azOkat az Azure Cache for Redis-példányokat, amelyekre nincs szükség a zónakimaradások elhárításához szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Data Explorer-fürtöknek zónaredundánsnak kell lenniük | Az Azure Data Explorer-fürtök zónaredundánsként konfigurálhatók. Az Azure Data Explorer-fürtök zónaredundánsnak minősülnek, ha a zónatömbjében legalább két bejegyzés szerepel. Ez a szabályzat segít biztosítani, hogy az Azure Data Explorer-fürtök zónaredundánsak legyenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A rugalmas Azure Database for MySQL-kiszolgálónak zónarugalmasnak kell lennie | A rugalmas Azure Database for MySQL-kiszolgáló úgy konfigurálható, hogy zónaredundáns, zónaredundáns vagy egyik sem legyen. A magas rendelkezésre állás érdekében ugyanabban a zónában kijelölt készenléti kiszolgálóval rendelkező MySQL-kiszolgáló zónaigazoltnak minősül. Ezzel szemben a mySQL-kiszolgáló, amelynek készenléti kiszolgálója egy másik zónában van kiválasztva a magas rendelkezésre állás érdekében, zónaredundánsként lesz felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A rugalmas Azure Database for PostgreSQL-kiszolgálónak zónarugalmasnak kell lennie | A rugalmas Azure Database for PostgreSQL-kiszolgáló úgy konfigurálható, hogy zónaigazított, zónaredundáns vagy egyik sem legyen. A postgreSQL-kiszolgáló, amelynek készenléti kiszolgálója ugyanabban a zónában van kiválasztva a magas rendelkezésre állás érdekében, zóna szerint igazítottnak minősül. Ezzel szemben a PostgreSQL-kiszolgáló, amelynek készenléti kiszolgálója egy másik zónában van kiválasztva a magas rendelkezésre állás érdekében, zónaredundánsként lesz felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure HDInsightnak zónaigazításúnak kell lennie | Az Azure HDInsight beállítható úgy, hogy zónabeigazítás legyen, vagy nem. Az Azure HDInsight, amely pontosan egy bejegyzéssel rendelkezik a zónatömbjében, zónaegyenlítettnek minősül. Ez a szabályzat biztosítja, hogy egy Azure HDInsight-fürt úgy legyen konfigurálva, hogy egyetlen rendelkezésre állási zónán belül működjön. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Kubernetes Service által felügyelt fürtöknek zónaredundánsnak kell lenniük | Az Azure Kubernetes Service által felügyelt fürtök zónaredundánsként konfigurálhatók. A szabályzat ellenőrzi a fürt csomópontkészletét, és biztosítja, hogy az avaialbilty zónák az összes csomópontkészlethez be legyenek állítva. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Managed Grafana zónaredundánsnak kell lennie | Az Azure Managed Grafana zónaredundánsként konfigurálható. Az Azure Managed Grafana-példány zónaredundáns, mert a "zoneRedundancy" tulajdonság "Engedélyezve" értékre van állítva. Ennek a szabályzatnak a érvényesítése segít biztosítani, hogy az Azure Managed Grafana megfelelően legyen konfigurálva a zóna rugalmasságához, csökkentve a zónakimaradások során az állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonsági mentésnek és a Site Recoverynek zónaredundánsnak kell lennie | A biztonsági mentés és a Site Recovery zónaredundánsként konfigurálható. A biztonsági mentés és a Site Recovery zónaredundáns, ha a standardTierStorageRedundancy tulajdonság értéke "ZoneRedundant". Ennek a szabályzatnak a kikényszerítése segít biztosítani, hogy a biztonsági mentés és a Site Recovery megfelelően legyen konfigurálva a zónarugalmasság érdekében, csökkentve a zónakimaradások alatti állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonsági mentési tárolóknak zónaredundánsnak kell lenniük | A biztonsági mentési tárolók zónaredundánsként vagy nem zónaredundánsként is konfigurálhatók. A biztonsági mentési tárolók zónaredundánsak, ha a tárolási beállítások típusa "ZoneRedundant" értékre van állítva, és rugalmasnak minősülnek. A georedundáns vagy helyileg redundáns biztonsági mentési tárolók nem tekinthetők rugalmasnak. A szabályzat kényszerítésével biztosítható, hogy a Backup Vaultok megfelelően legyenek konfigurálva a zónarugalmasság érdekében, ezáltal csökkentve a zónakimaradások alatti állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolóalkalmazásnak zónaredundánsnak kell lennie | A tárolóalkalmazás konfigurálható zónaredundánsként vagy nem. A tárolóalkalmazás zónaredundáns, ha a felügyelt környezet "ZoneRedundant" tulajdonsága igaz értékre van állítva. Ez a szabályzat azonosítja a tárolóalkalmazást, amely nem rendelkezik a zónakimaradás ellen való ellenálláshoz szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolópéldányoknak zóna igazításúnak kell lenniük | A tárolópéldányok konfigurálhatók zónaeligazításra, vagy nem. Zónaegyenlítettnek minősülnek, ha csak egy bejegyzésük van a zónatömbjükben. Ez a szabályzat biztosítja, hogy egyetlen rendelkezésre állási zónán belül működjenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárolóregisztrációs adatbázisnak zónaredundánsnak kell lennie | A tárolóregisztrációs adatbázis zónaredundánsként konfigurálható. Ha egy tárolóregisztrációs adatbázis zoneRedundancy tulajdonsága "Letiltva" értékre van állítva, az azt jelenti, hogy a beállításjegyzék nem zónaredundáns. A szabályzat kényszerítésével biztosítható, hogy a tárolóregisztrációs adatbázis megfelelően legyen konfigurálva a zóna rugalmassága érdekében, ezáltal csökkentve a zónakimaradások során az állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Cosmos-adatbázisfiókoknak zónaredundánsnak kell lenniük | A Cosmos-adatbázisfiókok zónaredundánsként vagy nem zónaredundánsként konfigurálhatók. Ha az "enableMultipleWriteLocations" értéke "true", akkor minden helynek rendelkeznie kell egy "isZoneRedundant" tulajdonságtal, és "true" (igaz) értékre kell állítania. Ha az "enableMultipleWriteLocations" értéke "false", akkor az elsődleges helynek (a "feladatátvételipriority" értéke 0) "isZoneRedundant" tulajdonságúnak kell lennie, és "true" értékűnek kell lennie. A szabályzat kényszerítése biztosítja, hogy a Cosmos Database-fiókok megfelelően legyenek konfigurálva a zónaredundanciához. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Event Hubsnak zónaredundánsnak kell lennie | Az Event Hubs zónaredundánsként konfigurálható. Az Event Hubs zónaredundáns, ha a "zoneRedundant" tulajdonság értéke "true". Ennek a szabályzatnak a kikényszerítése biztosítja, hogy az Event Hubs megfelelően legyen konfigurálva a zóna rugalmasságához, csökkentve a zónakimaradások alatti állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tűzfalaknak zónarugalmasnak kell lenniük | A tűzfalak konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a tűzfalak, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbjében 3 vagy több bejegyzést tartalmazó tűzfalak zónaredundánsként vannak felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A terheléselosztóknak zónarugalmasnak kell lenniük | Az Alaptól eltérő termékváltozattal rendelkező Terheléselosztók öröklik a nyilvános IP-címek rugalmasságát az előtérben. Ha a "Nyilvános IP-címeknek zónarugalmasnak kell lenniük" szabályzattal kombinálva ez a megközelítés biztosítja a zónakimaradás ellen való szükséges redundanciát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A felügyelt lemezeknek zónaállónak kell lenniük | A felügyelt lemezek konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. A pontosan egy zónahozzárendeléssel rendelkező felügyelt lemezek zónaegyenlítettek. A ZRS-ben végződő termékváltozatnévvel rendelkező felügyelt lemezek zónaredundánsak. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat a felügyelt lemezeken. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A NAT-átjárónak zónaigazításúnak kell lennie | A NAT-átjáró konfigurálható zónaeligazításra, vagy nem. Azok a NAT-átjárók, amelyeknek pontosan egy bejegyzése van a zónatömbben, zónaegyenlítettnek minősülnek. Ez a szabályzat biztosítja, hogy a NAT-átjárók egyetlen rendelkezésre állási zónán belül működjenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A nyilvános IP-címeknek zónarugalmasnak kell lenniük | A nyilvános IP-címek konfigurálhatók zónaeligazításra, zónaredundánsra vagy egyikre sem. A regionális nyilvános IP-címek, amelyekben pontosan egy bejegyzés szerepel a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a regionális, 3 vagy több bejegyzést tartalmazó nyilvános IP-címek zónaredundánsként lesznek felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.1.0-előzetes verzió |
| [Előzetes verzió]: A nyilvános IP-előtagok zónarugalmasnak kell lenniük | A nyilvános IP-előtagok beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a nyilvános IP-előtagok, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbben 3 vagy több bejegyzést tartalmazó nyilvános IP-előtagok zónaredundánsként lesznek felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Service Busnak zónaredundánsnak kell lennie | A Service Bus zónaredundánsként is konfigurálható. Ha a "zoneRedundant" tulajdonság "false" értékre van állítva egy Service Bus esetében, az azt jelenti, hogy nincs konfigurálva a zónaredundanciához. Ez a szabályzat azonosítja és kikényszeríti a Service Bus-példányok zónaredundancia-konfigurációját. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Service Fabric-fürtöknek zónaredundánsnak kell lenniük | A Service Fabric-fürtök zónaredundánsként konfigurálhatók. Azok a servicefabric-fürtök, amelyeknek a nodeType értéke nem rendelkezik a multipleAvailabilityZones érték igaz értékével, nem zónaredundánsak. Ez a szabályzat azonosítja azokat a servicefabric fürtöket, amelyekre nincs szükség a zónakimaradások ellen való ellenálláshoz szükséges redundanciával. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az SQL Database-adatbázisoknak zónaredundánsnak kell lenniük | Az SQL-adatbázisok zónaredundánsként konfigurálhatók. A "zoneRedundant" (zónaredundáns) beállítás értéke "false" (hamis) beállítással rendelkező adatbázisok nincsenek konfigurálva zónaredundanciára. Ez a szabályzat segít azonosítani azokat az SQL-adatbázisokat, amelyek zónaredundancia-konfigurációt igényelnek a rendelkezésre állás és a rugalmasság növelése érdekében az Azure-ban. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az SQL rugalmas adatbáziskészletének zónaredundánsnak kell lennie | Az SQL Rugalmas adatbáziskészletek zónaredundánsként konfigurálhatók. A rugalmas SQL-adatbáziskészletek zónaredundánsak, ha a "zoneRedundant" tulajdonság értéke "true". Ennek a szabályzatnak a kikényszerítése biztosítja, hogy az Event Hubs megfelelően legyen konfigurálva a zóna rugalmasságához, csökkentve a zónakimaradások alatti állásidő kockázatát. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A felügyelt SQL-példányoknak zónaredundánsnak kell lenniük | A felügyelt SQL-példányok zónaredundánsként konfigurálhatók. A "zoneRedundant" (zónaredundáns) beállítás értéke "false" (hamis) beállítással rendelkező példányok nincsenek konfigurálva zónaredundanciára. Ez a szabályzat segít azonosítani azokat az SQL managedInstance-eket, amelyeknek zónaredundancia-konfigurációra van szükségük a rendelkezésre állás és a rugalmasság növelése érdekében az Azure-ban. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiókok zónaredundánsnak kell lenniük | A tárfiókok zónaredundánsként vagy nem zónaredundánsként is konfigurálhatók. Ha egy tárfiók termékváltozatának neve nem "ZRS" végződésű, vagy a típusa "Storage", akkor az nem zónaredundáns. Ez a szabályzat biztosítja, hogy a tárfiókok zónaredundáns konfigurációt használjanak. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuálisgép-méretezési csoportoknak zónaállónak kell lenniük | A virtuálisgép-méretezési csoportok beállíthatók zónaeligazításra, zónaredundánsra vagy egyikre sem. Azok a virtuálisgép-méretezési csoportok, amelyek pontosan egy bejegyzéssel rendelkeznek a zónatömbjükben, zónaegyenlítettnek minősülnek. Ezzel szemben a zónatömbben legalább 3 bejegyzést tartalmazó virtuálisgép-méretezési csoportok és legalább 3 kapacitás zónaredundánsként vannak felismerve. Ez a szabályzat segít azonosítani és kikényszeríteni ezeket a rugalmassági konfigurációkat. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális gépeknek zóna igazításúnak kell lenniük | A virtuális gépek konfigurálhatók zónaeligazításra, vagy nem. Zónaegyenlítettnek minősülnek, ha csak egy bejegyzésük van a zónatömbjükben. Ez a szabályzat biztosítja, hogy egyetlen rendelkezésre állási zónán belül működjenek. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális hálózati átjáróknak zónaredundánsnak kell lenniük | A virtuális hálózati átjárók zónaredundánsként vagy nem zónaredundánsként konfigurálhatók. Azok a virtuális hálózati átjárók, amelyek termékváltozatának neve vagy szintje nem "AZ" végződésű, nem zónaredundánsak. Ez a szabályzat azonosítja azokat a virtuális hálózati átjárókat, amelyekre nincs szükség a zónakimaradás ellen való ellenálláshoz szükséges redundancia nélkül. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
Keresés
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Cognitive Search szolgáltatás kizárólag Azure Active Directory-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/azure-cognitive-search/rbac. Vegye figyelembe, hogy bár a helyi hitelesítési paraméter letiltása még előzetes verzióban van, a szabályzat megtagadási hatása korlátozott Azure Cognitive Search-portál-funkciót eredményezhet, mivel a portál egyes funkciói a GA API-t használják, amely nem támogatja a paramétert. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-knak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Ha az Azure Cognitive Search szolgáltatás ügyfél által felügyelt kulccsal engedélyezi a inaktív adatok titkosítását, további vezérlést biztosít az inaktív adatok titkosításához. Ez a funkció gyakran alkalmazható olyan ügyfelekre, akik speciális megfelelőségi követelményekkel rendelkeznek az adattitkosítási kulcsok kulcstartóval történő kezeléséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Cognitive Search szolgáltatás kizárólag Azure Active Directory-identitásokat igényelhessenek a hitelesítéshez. További információ: https://aka.ms/azure-cognitive-search/rbac. | Módosítás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Cognitive Search szolgáltatás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Módosítás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Cognitive Search szolgáltatás feloldása érdekében. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Azure Cognitive Search szolgáltatás konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Cognitive Search szolgáltatás való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
Security Center
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux Arc-gépekre | Telepítse az Azure Security-ügynököt a Linux Arc-gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuálisgép-méretezési csoportokra, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Linux rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Linux rendszerű virtuális gépekre, hogy a gépek biztonsági konfigurációit és biztonsági réseit monitorozza. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows Arc-gépekre | Telepítse az Azure Security-ügynököt a Windows Arc-gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuálisgép-méretezési csoportokra, hogy monitorozza a gépeket a biztonsági konfigurációk és biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Security-ügynököt telepíteni kell a Windows rendszerű virtuális gépekre | Telepítse az Azure Security-ügynököt a Windows rendszerű virtuális gépekre, hogy figyelhesse a gépeket a biztonsági konfigurációk és a biztonsági rések szempontjából. Az értékelések eredményei az Azure Security Centerben tekinthetők meg és kezelhetők. | AuditIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux Arc-gépen | Telepítse a ChangeTracking bővítményt Linux Arc-gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Linux rendszerű virtuális gépekre a fájlintegritási monitorozás (FIM) engedélyezéséhez az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Linux rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Linux rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows Arc-gépen | Telepítse a ChangeTracking bővítményt Windows Arc-gépekre a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuális gépen | Telepítse a ChangeTracking bővítményt Windows rendszerű virtuális gépekre, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A ChangeTracking bővítményt telepíteni kell a Windows rendszerű virtuálisgép-méretezési csoportokra | Telepítse a ChangeTracking Bővítményt Windows rendszerű virtuálisgép-méretezési csoportokra, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitoring Agent által támogatott virtuális gépekre és helyekre. | AuditIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Defender konfigurálása SQL-ügynökhöz virtuális gépen | Konfigurálja a Windows-gépeket az Azure Defender for SQL-ügynök automatikus telepítéséhez, ahol az Azure Monitor-ügynök telepítve van. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Erőforráscsoportot és Log Analytics-munkaterületet hoz létre a géppel azonos régióban. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux Arc-gépekhez | Linux Arc-gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking-bővítmény konfigurálása Linux rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Linux rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) Azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Linux rendszerű virtuális gépekhez | Linux rendszerű virtuális gépek konfigurálása a ChangeTracking-bővítmény automatikus telepítéséhez a fájlintegritási monitorozás (FIM) azure Security Centerben való engedélyezéséhez. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows Arc-gépekhez | Konfigurálja a Windows Arc-gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuálisgép-méretezési csoportokhoz | Konfigurálja a Windows rendszerű virtuálisgép-méretezési csoportokat a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: ChangeTracking bővítmény konfigurálása Windows rendszerű virtuális gépekhez | Konfigurálja a Windows rendszerű virtuális gépeket a ChangeTracking-bővítmény automatikus telepítéséhez, hogy engedélyezze a fájlintegritási monitorozást (FIM) az Azure Security Centerben. A FIM megvizsgálja az operációsrendszer-fájlokat, a Windows-adatbázisokat, az alkalmazásszoftvereket, a Linux rendszerfájlokat és egyebeket a támadásra utaló változások esetén. A bővítmény telepíthető az Azure Monitor Agent által támogatott virtuális gépekre és helyekre. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux Arc-gépeket az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Linux Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Linux rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 6.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Linux rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezhessék a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításai ellen. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 5.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 7.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Linux rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 7.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott virtuális gépek konfigurálása a vTPM automatikus engedélyezéséhez | A támogatott virtuális gépek úgy konfigurálhatók, hogy automatikusan engedélyezhessék a vTPM-et a mért rendszerindítás és más, TPM-t igénylő operációsrendszer-biztonsági funkciók megkönnyítése érdekében. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows Arc-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél Windows Arc-gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez | A támogatott Windows-gépek konfigurálása az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A cél virtuális gépeknek támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása az Azure Security-ügynök automatikus telepítéséhez | Konfigurálja a támogatott Windows rendszerű virtuálisgép-méretezési csoportokat az Azure Security-ügynök automatikus telepítéséhez. A Security Center összegyűjti az eseményeket az ügynöktől, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. A Cél Windows rendszerű virtuálisgép-méretezési csoportoknak támogatott helyen kell lenniük. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuálisgép-méretezési csoportok konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek méretezési csoportjait úgy konfigurálhatja, hogy automatikusan telepítse a vendégigazolási bővítményt, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 4.1.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a biztonságos rendszerindítás automatikus engedélyezéséhez | Konfigurálja a támogatott Windows rendszerű virtuális gépeket úgy, hogy automatikusan engedélyezze a biztonságos rendszerindítást a rendszerindítási lánc rosszindulatú és jogosulatlan módosításaival szemben. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. | DeployIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez | A támogatott Windows rendszerű virtuális gépek konfigurálása a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott virtuális gépek konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a Megosztott képtár rendszerképekkel létrehozott virtuális gépeket a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítási integritást. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.0.0-előzetes verzió |
| [Előzetes verzió]: A Megosztott képgyűjtemény rendszerképeivel létrehozott VMSS konfigurálása a vendégigazolási bővítmény telepítéséhez | Konfigurálja a megosztott képgyűjtemény rendszerképeivel létrehozott VMSS-t a vendégigazolási bővítmény automatikus telepítéséhez, hogy az Azure Security Center proaktív módon tanúsítsa és monitorozza a rendszerindítás integritását. A rendszerindítási integritást a rendszer távoli igazolással igazolja. | DeployIfNotExists, Disabled | 2.1.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése linuxos hibrid gépeken | Az Végponthoz készült Microsoft Defender-ügynök telepítése linuxos hibrid gépeken | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Linux rendszerű virtuális gépeken | Üzembe helyezi Végponthoz készült Microsoft Defender ügynököt a megfelelő Linux rendszerű virtuálisgép-lemezképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender-ügynök üzembe helyezése Windows Azure Arc-gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender Windows Azure Arc-gépeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: Végponthoz készült Microsoft Defender ügynök üzembe helyezése Windows rendszerű virtuális gépeken | Üzembe helyezi a Végponthoz készült Microsoft Defender a windowsos virtuálisgép-rendszerképeken. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a megbízható indítású és a bizalmas Linux rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt telepíteni kell a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira | Telepítse a vendégigazolási bővítményt a támogatott Linux rendszerű virtuális gépek méretezési csoportjaira, hogy az Azure Security Center proaktívan tanúsíthassa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Linux rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 5.1.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépekre kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuális gépekre, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | AuditIfNotExists, Disabled | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A vendégigazolási bővítményt a támogatott Windows rendszerű virtuális gépek méretezési csoportjaira kell telepíteni | Telepítse a vendégigazolási bővítményt a támogatott virtuálisgép-méretezési csoportokra, hogy az Azure Security Center proaktívan tanúsítsa és monitorozza a rendszerindítás integritását. A telepítést követően a rendszerindítási integritást a rendszer távoli igazolással igazolja. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuálisgép-méretezési csoportokra vonatkozik. | AuditIfNotExists, Disabled | 3.1.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek csak aláírt és megbízható rendszerindítási összetevőket kell használniuk | Minden operációsrendszer-rendszerindítási összetevőt (rendszertöltő, kernel, kernelillesztő) megbízható közzétevőknek kell aláírnia. Felhőhöz készült Defender nem megbízható operációsrendszer-rendszerindítási összetevőket azonosított egy vagy több Linux-gépen. Ha meg szeretné védeni a gépeket a potenciálisan rosszindulatú összetevőktől, vegye fel őket az engedélyezési listára, vagy távolítsa el az azonosított összetevőket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Linux rendszerű virtuális gépeknek biztonságos rendszerindítást kell használniuk | A kártevőalapú rootkitek és rendszerindító készletek telepítése elleni védelem érdekében engedélyezze a Biztonságos rendszerindítást a támogatott Linux rendszerű virtuális gépeken. A Biztonságos rendszerindítás biztosítja, hogy csak aláírt operációs rendszerek és illesztőprogramok fussanak. Ez az értékelés csak azOkra a Linux rendszerű virtuális gépekre vonatkozik, amelyeken telepítve van az Azure Monitor Agent. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A gépeknek olyan portokat kell bezárni, amelyek támadási vektorokat tehetnek elérhetővé | Az Azure használati feltételei tiltják az Azure-szolgáltatások használatát olyan módon, amely bármilyen Microsoft-kiszolgálót vagy hálózatot károsíthat, letilthat, túlterhelhet vagy károsíthat. A javaslat által azonosított közzétett portokat be kell zárni a folyamatos biztonság érdekében. Az egyes azonosított portok esetében az ajánlás a lehetséges fenyegetés magyarázatát is tartalmazza. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A biztonságos rendszerindítást engedélyezni kell a támogatott Windows rendszerű virtuális gépeken | Engedélyezze a biztonságos rendszerindítást a támogatott Windows rendszerű virtuális gépeken, hogy elhárítsa a rendszerindítási lánc rosszindulatú és jogosulatlan módosításait. Ha engedélyezve van, csak megbízható rendszerindítók, kernel- és kernelillesztők futtathatók. Ez az értékelés a Megbízható indítás és a Bizalmas Windows rendszerű virtuális gépekre vonatkozik. | Naplózás, letiltva | 4.0.0-előzetes verzió |
| [Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) | A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran kihasználják a kártevők támadásai, ezért létfontosságú, hogy a szoftver frissüljön. Az összes kiugró javítás telepítéséhez és a gépek védelméhez kövesse a szervizelési lépéseket. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A virtuális gépek vendégigazolási állapotának kifogástalannak kell lennie | A vendégigazolás egy megbízható napló (TCGLog) egy igazolási kiszolgálónak való elküldésével történik. A kiszolgáló ezeket a naplókat használja annak meghatározására, hogy a rendszerindító összetevők megbízhatóak-e. Ez az értékelés a rendszerindítási lánc olyan sérüléseinek észlelésére szolgál, amelyek bootkit- vagy rootkit-fertőzés következménye lehetnek. Ez az értékelés csak azokra a megbízható indítású virtuális gépekre vonatkozik, amelyeken telepítve van a vendégigazolási bővítmény. | AuditIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: a vTPM-et engedélyezni kell a támogatott virtuális gépeken | Engedélyezze a virtuális TPM-eszközt a támogatott virtuális gépeken, hogy megkönnyítse a mért rendszerindítást és más, TPM-t igénylő operációsrendszer-biztonsági funkciókat. Ha engedélyezve van, a vTPM használható a rendszerindítás integritásának igazolására. Ez az értékelés csak a megbízható indításra engedélyezett virtuális gépekre vonatkozik. | Naplózás, letiltva | 2.0.0-előzetes verzió |
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| A biztonságos alkalmazások meghatározásához használható adaptív alkalmazásvezérlőket engedélyezni kell a gépeken | Engedélyezheti az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert alkalmazások listáját, és riasztást küldhessenek, amikor más alkalmazások futnak. Ez segít megkeményíteni a gépeket a kártevők ellen. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. | AuditIfNotExists, Disabled | 3.0.0 |
| Az adaptív hálózatmegerősítési javaslatokat az internetkapcsolattal rendelkező virtuális gépeken kell alkalmazni | Az Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a potenciális támadási felületet | AuditIfNotExists, Disabled | 3.0.0 |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Frissíteni kell az adaptív alkalmazásvezérlési szabályzat engedélyezési listára vonatkozó szabályait | Figyelheti az Azure Security Center adaptív alkalmazásvezérlői által naplózásra konfigurált gépcsoportok viselkedésének változásait. A Security Center gépi tanulással elemzi a gépeken futó folyamatokat, és javaslatot tesz az ismerten biztonságos alkalmazások listájára. Ezek ajánlott alkalmazásként jelennek meg az adaptív alkalmazásvezérlési szabályzatok engedélyezéséhez. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure API Management API-végpontjait hitelesíteni kell | Az Azure API Managementben közzétett API-végpontoknak hitelesítést kell kikényszeríteni a biztonsági kockázat minimalizálása érdekében. A hitelesítési mechanizmusok néha helytelenül vannak implementálva, vagy hiányoznak. Így a támadók kihasználhatják a megvalósítás hibáit, és hozzáférhetnek az adatokhoz. További információ az OWASP API-fenyegetésről a hibás felhasználói hitelesítéshez: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| A nem használt API-végpontokat le kell tiltani és el kell távolítani az Azure API Management szolgáltatásból | Ajánlott biztonsági eljárásként azokat az API-végpontokat, amelyek 30 napja nem fogadták a forgalmat, használaton kívülinek minősülnek, és el kell távolítani őket az Azure API Management szolgáltatásból. A nem használt API-végpontok megtartása biztonsági kockázatot jelenthet a szervezet számára. Ezek lehetnek olyan API-k, amelyeknek elavultnak kellett volna lenniük az Azure API Management szolgáltatásból, de előfordulhat, hogy véletlenül aktívak maradtak. Az ilyen API-k általában nem a legfrissebb biztonsági lefedettséget kapják. | AuditIfNotExists, Disabled | 1.0.1 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| A Log Analytics-ügynök automatikus kiépítését engedélyezni kell az előfizetésben | A biztonsági rések és fenyegetések monitorozásához az Azure Security Center adatokat gyűjt az Azure-beli virtuális gépekről. Az adatokat a Log Analytics-ügynök, korábbi nevén a Microsoft Monitoring Agent (MMA) gyűjti, amely beolvassa a különböző biztonsági konfigurációkat és eseménynaplókat a gépről, és elemzés céljából átmásolja az adatokat a Log Analytics-munkaterületre. Javasoljuk, hogy engedélyezze az automatikus üzembe helyezést az ügynök automatikus üzembe helyezéséhez az összes támogatott Azure-beli virtuális gépen és a létrehozott új gépeken. | AuditIfNotExists, Disabled | 1.0.1 |
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defendert a nyílt forráskódú relációs adatbázisokhoz | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Rugalmas PostgreSQL-kiszolgálókhoz | Rugalmas PostgreSQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure beállításjegyzék-tároló lemezképeinek biztonsági réseit meg kell oldani (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. A biztonsági rések feloldása jelentősen javíthatja a biztonsági helyzetet, így a rendszerképek biztonságosan használhatók az üzembe helyezés előtt. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes Servicesben kell használni | A felhasználók által végrehajtható műveletek részletes szűréséhez használja az Azure Szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.3 |
| A tárolólemezképeket futtató Azure-nak meg kell oldania a biztonsági réseket (Microsoft Defender biztonságirés-kezelés) | A tárolólemezkép sebezhetőségi felmérése megvizsgálja a beállításjegyzékben a gyakran ismert biztonsági réseket (CVE-ket), és részletes biztonságirés-jelentést nyújt az egyes rendszerképekhez. Ez a javaslat a Kubernetes-fürtökben jelenleg futó sebezhető képek láthatóságát biztosítja. A jelenleg futó tárolólemezképek biztonsági réseinek elhárítása kulcsfontosságú a biztonsági helyzet javításához, ami jelentősen csökkenti a tárolóalapú számítási feladatok támadási felületét. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányait biztonságosan kell konfigurálni | A Cloud Service (kiterjesztett támogatás) szerepkörpéldányainak védelme a támadások ellen, mivel biztosíthatja, hogy az operációs rendszer biztonsági rései ne legyenek feltárva. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak rendelkezniük kell egy végpontvédelmi megoldással | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a fenyegetések és a biztonsági rések ellen, biztosítva, hogy egy végpontvédelmi megoldás legyen telepítve rájuk. | AuditIfNotExists, Disabled | 1.0.0 |
| A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak telepítve kell lenniük a rendszerfrissítéseknek | A Cloud Services (kiterjesztett támogatás) szerepkörpéldányainak védelme a legújabb biztonsági és kritikus frissítések telepítésének biztosításával. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Advanced Threat Protection konfigurálása a rugalmas Azure Database for MySQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont az Azure-adatbázis rugalmas MySQL-kiszolgálókon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Advanced Threat Protection konfigurálása a rugalmas Azure Database for PostgreSQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont rugalmas Azure Database for PostgreSQL-kiszolgálókon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.1.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows Arc-kompatibilis SQL-kiszolgálókon. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows Arc-kompatibilis SQL Servereket a Microsoft Defender for SQL-ügynök automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.2.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez Log Analytics-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot, egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.3.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez egy felhasználó által definiált LA-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy adatgyűjtési szabályt a felhasználó által definiált Log Analytics-munkaterületen. | DeployIfNotExists, Disabled | 1.4.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással az SQL DCR-hez készült Microsoft Defenderhez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.1.0 |
| Arc-kompatibilis SQL-kiszolgálók konfigurálása adatgyűjtési szabálytársítással a Microsoft Defenderhez az SQL felhasználó által definiált DCR-hez | Konfigurálja az Arc-kompatibilis SQL-kiszolgálók és a Microsoft Defender for SQL felhasználó által definiált DCR közötti társításokat. A társítás törlése megszakítja az Arc-kompatibilis SQL-kiszolgálók biztonsági réseinek észlelését. | DeployIfNotExists, Disabled | 1.2.0 |
| Az Azure Defender for App Service engedélyezésének konfigurálása | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender Azure SQL-adatbázis engedélyezésének konfigurálása | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása a nyílt forráskódú relációs adatbázisok engedélyezéséhez | A nyílt forráskódú relációs adatbázisokhoz készült Azure Defender rendellenes tevékenységeket észlel, amelyek szokatlan és potenciálisan káros kísérleteket jeleznek az adatbázisok elérésére vagy kihasználására. További információ az Azure Defender nyílt forráskódú relációs adatbázisokhoz való képességeiről a következő címen https://aka.ms/AzDforOpenSourceDBsDocu: . Fontos: A terv engedélyezése a nyílt forráskódú relációs adatbázisok védelmének költségeit fogja eredményezni. További információ a Security Center díjszabási oldalán található díjszabásról: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Resource Manager engedélyezése | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.1.0 |
| Az engedélyezni kívánt szerverekhez készült Azure Defender konfigurálása | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | DeployIfNotExists, Disabled | 1.0.1 |
| Az Azure Defender konfigurálása SQL kiszolgálókhoz az engedélyezni kívánt gépeken | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | DeployIfNotExists, Disabled | 1.0.1 |
| Alapszintű Microsoft Defender for Storage engedélyezése (csak tevékenységfigyelés) | A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Ez a szabályzat engedélyezi az alapvető Defender for Storage-képességeket (tevékenységfigyelés). A teljes védelem engedélyezéséhez, amely magában foglalja a kártevő-vizsgálat és a bizalmas adatfenyegetések észlelését is, használja a teljes engedélyezési szabályzatot: aka.ms/DefenderForStoragePolicy. Ha többet szeretne megtudni a Defender for Storage képességeiről és előnyeiről, látogasson el a aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.1.0 |
| Gépek konfigurálása sebezhetőségi felmérési szolgáltató fogadására | Az Azure Defender további költségek nélkül tartalmazza a gépek biztonsági réseinek vizsgálatát. Nincs szüksége Qualys-licencre vagy akár Qualys-fiókra sem – minden zökkenőmentesen kezelhető a Security Centerben. Ha engedélyezi ezt a szabályzatot, az Azure Defender automatikusan telepíti a Qualys biztonságirés-felmérési szolgáltatót az összes olyan támogatott gépen, amely még nincs telepítve. | DeployIfNotExists, Disabled | 4.0.0 |
| Microsoft Defender CSPM-csomag konfigurálása | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender CSPM engedélyezésének beállítása | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | DeployIfNotExists, Disabled | 1.0.2 |
| Az Azure Cosmos DB-hez készült Microsoft Defender konfigurálása az engedélyezéshez | Az Azure Cosmos DB-hez készült Microsoft Defender egy Azure-natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender a Microsoft Threat Intelligence alapján észleli a lehetséges SQL-injektálást, az ismert rossz szereplőket, a gyanús hozzáférési mintákat és az adatbázis potenciális kihasználását feltört identitások vagy rosszindulatú bennfentesek segítségével. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Containers csomag konfigurálása | A Defender for Containers csomag folyamatosan új képességeket ad hozzá, ami a felhasználó explicit engedélyezését igényelheti. Ezzel a szabályzattal győződjön meg arról, hogy minden új képesség engedélyezve lesz. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Containers engedélyezésének konfigurálása | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | DeployIfNotExists, Disabled | 1.0.1 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP_EXCLUDE_LINUX...) | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat a Felhőhöz készült Microsoft Defender (más néven WDATP_EXCLUDE_LINUX_...) belül az MDE linuxos kiszolgálókhoz való automatikus kiépítésének engedélyezéséhez. A WDATP-beállítást be kell kapcsolni a beállítás alkalmazásához. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP_UNIFIED_SOLUTION) | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat Felhőhöz készült Microsoft Defender (más néven WDATP_UNIFIED_SOLUTION) az MDE Unified Agent automatikus kiépítésének engedélyezéséhez Windows Server 2012R2 és 2016 rendszerhez. A WDATP-beállítást be kell kapcsolni a beállítás alkalmazásához. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Végponthoz készült Microsoft Defender integrációs beállítások konfigurálása Felhőhöz készült Microsoft Defender (WDATP) használatával | Konfigurálja a Végponthoz készült Microsoft Defender integrációs beállításokat a Felhőhöz készült Microsoft Defender (más néven WDATP)-ben az MMA-n keresztül az MDE-be előkészített windowsos alsó szintű gépekhez, valamint az MDE automatikus kiépítéséhez Windows Server 2019, Windows Virtual Desktop és újabb rendszereken. A többi beállítás (WDATP_UNIFIED stb.) működéséhez be kell kapcsolni. További információ: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Key Vault csomag konfigurálása | A Key Vaulthoz készült Microsoft Defender további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | DeployIfNotExists, Disabled | 1.1.0 |
| A Microsoft Defender for Servers csomag konfigurálása | Az új képességek folyamatosan bővülnek a Defender for Servers szolgáltatásban, ami a felhasználó explicit engedélyezését igényelheti. Ezzel a szabályzattal győződjön meg arról, hogy minden új képesség engedélyezve lesz. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for SQL konfigurálása a Synapse-munkaterületeken való engedélyezéshez | Engedélyezze a Microsoft Defender for SQL-t az Azure Synapse-munkaterületeken, hogy észlelje az SQL-adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.0.0 |
| A Microsoft Defender for Storage (klasszikus) engedélyezése | A Microsoft Defender for Storage (klasszikus) észleli a tárfiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket. | DeployIfNotExists, Disabled | 1.0.2 |
| A Microsoft Defender for Storage engedélyezése | A Microsoft Defender for Storage egy azure-beli natív biztonságiintelligencia-réteg, amely észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Ez a szabályzat minden Defender for Storage-képességet engedélyez; Tevékenységfigyelés, kártevő-vizsgálat és bizalmas adatfenyegetések észlelése. Ha többet szeretne megtudni a Defender for Storage képességeiről és előnyeiről, látogasson el a aka.ms/DefenderForStorage. | DeployIfNotExists, Disabled | 1.2.0 |
| SQL Virtual Machines konfigurálása az Azure Monitor-ügynök automatikus telepítéséhez | Automatizálhatja az Azure Monitor Agent bővítmény üzembe helyezését a Windows SQL Virtuális gépeken. További információ: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Sql Virtual Machines konfigurálása az SQL-hez készült Microsoft Defender automatikus telepítéséhez | Konfigurálja a Windows SQL-alapú virtuális gépeket a Microsoft Defender sql-bővítmény automatikus telepítéséhez. A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. | DeployIfNotExists, Disabled | 1.3.0 |
| Sql Virtual Machines konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez Log Analytics-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot, egy adatgyűjtési szabályt és Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.4.0 |
| Sql Virtual Machines konfigurálása az SQL-hez és a DCR-hez készült Microsoft Defender automatikus telepítéséhez egy felhasználó által definiált LA-munkaterülettel | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és egy adatgyűjtési szabályt a felhasználó által definiált Log Analytics-munkaterületen. | DeployIfNotExists, Disabled | 1.4.0 |
| A Microsoft Defender konfigurálása az SQL Log Analytics-munkaterülethez | A Microsoft Defender for SQL összegyűjti az ügynöktől származó eseményeket, és biztonsági riasztások és testre szabott megkeményítési feladatok (javaslatok) biztosítására használja őket. Hozzon létre egy erőforráscsoportot és Egy Log Analytics-munkaterületet a géppel azonos régióban. | DeployIfNotExists, Disabled | 1.2.0 |
| Beépített, felhasználó által hozzárendelt felügyelt identitás létrehozása és hozzárendelése | Hozzon létre és rendeljen hozzá egy beépített, felhasználó által hozzárendelt felügyelt identitást nagy léptékben az SQL virtuális gépekhez. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Üzembe helyezés – Letiltási szabályok konfigurálása az Azure Security Center-riasztásokhoz | Az Azure Security Center-riasztások mellőzése a riasztások kifáradásának csökkentése érdekében a felügyeleti csoportra vagy előfizetésre vonatkozó elnyomási szabályok üzembe helyezésével csökkenthető. | deployIfNotExists | 1.0.0 |
| Exportálás üzembe helyezése az Event Hubba megbízható szolgáltatásként Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze az Event Hubba való exportálást Felhőhöz készült Microsoft Defender adatok megbízható szolgáltatásaként. Ez a szabályzat egy exportálást helyez üzembe az Event Hubba megbízható szolgáltatáskonfigurációként a feltételekkel és a hozzárendelt hatókörben lévő Event Hub célként. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | DeployIfNotExists, Disabled | 1.0.0 |
| Exportálás üzembe helyezése az Event Hubba Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze az Felhőhöz készült Microsoft Defender adatok Event Hubba való exportálását. Ez a szabályzat egy exportálást helyez üzembe az Event Hub-konfigurációba a feltételekkel és a hozzárendelt hatókörben lévő Event Hub célokkal. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 4.2.0 |
| Exportálás üzembe helyezése a Log Analytics-munkaterületre Felhőhöz készült Microsoft Defender adatokhoz | Engedélyezze Felhőhöz készült Microsoft Defender adatok Log Analytics-munkaterületre való exportálását. Ez a szabályzat egy exportálást helyez üzembe a Log Analytics-munkaterület konfigurációjában a feltételekkel és a cél-munkaterülettel a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 4.1.0 |
| Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-riasztásokhoz | Felhőhöz készült Microsoft Defender riasztások automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Munkafolyamat-automatizálás üzembe helyezése Microsoft Defender for Cloud-javaslatokhoz | Felhőhöz készült Microsoft Defender javaslatok automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Munkafolyamat-automatizálás üzembe helyezése Felhőhöz készült Microsoft Defender jogszabályi megfelelőséghez | Felhőhöz készült Microsoft Defender jogszabályi megfelelőség automatizálásának engedélyezése. Ez a szabályzat üzembe helyez egy munkafolyamat-automatizálást a feltételekkel és az eseményindítókkal a hozzárendelt hatókörben. A szabályzat újonnan létrehozott előfizetéseken való üzembe helyezéséhez nyissa meg a Megfelelőség lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 5.0.1 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.1.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Felhőhöz készült Microsoft Defender engedélyezése az előfizetésben | Azonosítja a Felhőhöz készült Microsoft Defender által nem figyelt meglévő előfizetéseket, és védi őket Felhőhöz készült Defender ingyenes funkcióival. A már figyelt előfizetések megfelelőnek minősülnek. Az újonnan létrehozott előfizetések regisztrálásához nyissa meg a megfelelőségi lapot, válassza ki a megfelelő nem megfelelő hozzárendelést, és hozzon létre egy szervizelési feladatot. | deployIfNotExists | 1.0.1 |
| Engedélyezze a Security Center automatikusan a Log Analytics-ügynök automatikus kiépítését az előfizetéseken egyéni munkaterülettel. | Lehetővé teszi a Security Center számára, hogy automatikusan kiépíteni a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez egy egyéni munkaterület használatával. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezze a Security Center automatikusan a Log Analytics-ügynök automatikus kiépítését az előfizetéseken az alapértelmezett munkaterülettel. | Engedélyezze a Security Centernek, hogy automatikusan kiépítenie a Log Analytics-ügynököt az előfizetéseken a biztonsági adatok figyeléséhez és gyűjtéséhez az ASC alapértelmezett munkaterületén. | DeployIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken | A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Az Azure Security Center által támogatott végpontvédelmi megoldásokat itt dokumentáljuk : https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelem értékelése itt dokumentálva van – https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmet telepíteni kell a gépekre | A gépek fenyegetésekkel és biztonsági résekkel szembeni védelméhez telepítsen egy támogatott végpontvédelmi megoldást. | AuditIfNotExists, Disabled | 1.0.0 |
| A végpontvédelmi megoldást telepíteni kell a virtuálisgép-méretezési csoportokra | A virtuálisgép-méretezési csoportok végpontvédelmi megoldásának meglétét és állapotát naplózza, hogy megvédje őket a fenyegetésektől és a biztonsági résektől. | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| A Log Analytics-ügynököt telepíteni kell a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokra | A Security Center adatokat gyűjt a Cloud Services (kiterjesztett támogatási) szerepkörpéldányokból a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 2.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuális gépre az Azure Security Center monitorozásához | Ez a szabályzat naplózza a Windows/Linux rendszerű virtuális gépeket (VM-eket), ha a Log Analytics-ügynök nincs telepítve, amelyet a Security Center a biztonsági rések és fenyegetések figyelésére használ | AuditIfNotExists, Disabled | 1.0.0 |
| A Log Analytics-ügynököt telepíteni kell a virtuálisgép-méretezési csoportokra az Azure Security Center monitorozásához | A Security Center adatokat gyűjt az Azure-beli virtuális gépekről a biztonsági rések és fenyegetések monitorozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| A gépek titkos megállapításait meg kell oldani | Naplóozza a virtuális gépeket annak észlelésére, hogy tartalmaznak-e titkos megállapításokat a virtuális gépek titkos vizsgálati megoldásaiból. | AuditIfNotExists, Disabled | 1.0.2 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender CSPM-et | A Defender Cloud Security Posture Management (CSPM) továbbfejlesztett testtartási képességeket és egy új intelligens felhőbiztonsági gráfot biztosít a kockázatok azonosításához, rangsorolásához és csökkentéséhez. A Defender CSPM az ingyenes alapszintű biztonsági állapot mellett is elérhető, amely alapértelmezés szerint be van kapcsolva a Felhőhöz készült Defender. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for API-kat | Az API-khoz készült Microsoft Defender új felderítési, védelmi, észlelési és válaszlefedettséget biztosít a gyakori API-alapú támadások és biztonsági konfigurációk figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Azure Cosmos DB-t | Az Azure Cosmos DB-hez készült Microsoft Defender egy Azure-natív biztonsági réteg, amely észleli az Azure Cosmos DB-fiókokban lévő adatbázisok kihasználására tett kísérleteket. Az Azure Cosmos DB-hez készült Defender a Microsoft Threat Intelligence alapján észleli a lehetséges SQL-injektálást, az ismert rossz szereplőket, a gyanús hozzáférési mintákat és az adatbázis potenciális kihasználását feltört identitások vagy rosszindulatú bennfentesek segítségével. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL-hez készült Microsoft Defendert engedélyezni kell a nem védett Synapse-munkaterületekhez | Engedélyezze az SQL Defendert a Synapse-munkaterületek védelméhez. Az SQL Defender figyeli a Synapse SQL-t, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | AuditIfNotExists, Disabled | 1.0.0 |
| Az ARC-kompatibilis SQL-kiszolgálók esetében védeni kell a Microsoft Defendert az SQL-hez | Az SQL-hez készült Microsoft Defender funkcióval feltárhatja és mérsékelheti az adatbázis esetleges sebezhetőségeit, észlelheti az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységeket, felderítheti és osztályozhatja a bizalmas adatokat. Ha engedélyezve van, a védelmi állapot azt jelzi, hogy az erőforrás aktívan figyelve van. Az aktív védelem biztosítása érdekében a Defender engedélyezése esetén is több konfigurációs beállítást kell ellenőrizni az ügynökön, a gépen, a munkaterületen és az SQL Serveren. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Hiányzó Endpoint Protection monitorozása az Azure Security Centerben | A telepített Endpoint Protection-ügynökkel nem rendelkező kiszolgálókat az Azure Security Center figyeli javaslatként | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| A Security Center standard tarifacsomagját ki kell választani | A standard tarifacsomag lehetővé teszi a fenyegetések észlelését hálózatok és virtuális gépek számára, fenyegetésfelderítést, anomáliadetektálást és viselkedéselemzést biztosít az Azure Security Centerben | Naplózás, letiltva | 1.1.0 |
| Előfizetések beállítása egy alternatív sebezhetőségi felmérési megoldásra való áttéréshez | A Microsoft Defender a felhőhöz további költségek nélkül kínál sebezhetőségi vizsgálatot a gépeken. A szabályzat engedélyezésével Felhőhöz készült Defender automatikusan propagálja az eredményeket a beépített Microsoft Defender biztonságirés-kezelés megoldásból az összes támogatott gépre. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken futó SQL-kiszolgálók esetében engedélyezni kell az SQL Server által célzott automatikus kiépítést | Az SQL virtuális gépek és az Arc-kompatibilis SQL-kiszolgálók védelmének biztosítása érdekében győződjön meg arról, hogy az SQL-célzott Azure Monitoring Agent automatikus üzembe helyezésre van konfigurálva. Erre akkor is szükség van, ha korábban konfigurálta a Microsoft Monitoring Agent automatikus üzembe helyezését, mivel az összetevő elavult. Tudj meg többet: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépeknek titkosítaniuk kell a számítási és tárolási erőforrások közötti ideiglenes lemezeket, gyorsítótárakat és adatfolyamokat | Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítás és a tár között áramló adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. A felügyelt lemezek kiszolgálóoldali titkosítása megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| A tároló biztonsági konfigurációinak biztonsági réseit orvosolni kell | A biztonsági konfiguráció biztonsági réseinek naplózása olyan gépeken, amelyeken a Docker telepítve van, és javaslatokként jelenik meg az Azure Security Centerben. | AuditIfNotExists, Disabled | 3.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A virtuálisgép-méretezési csoportok biztonsági konfigurációjának biztonsági réseit orvosolni kell | Ellenőrizze a virtuálisgép-méretezési csoportok operációsrendszer-biztonsági réseit, hogy megvédje őket a támadásoktól. | AuditIfNotExists, Disabled | 3.0.0 |
Security Center – Részletes díjszabás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for Servers konfigurálása az összes erőforrás letiltásához (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez, VMSS-ekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Defender for Servers konfigurálása az erőforrások (erőforrásszint) letiltásához a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat letiltja a Defender for Servers csomagot az összes olyan erőforráshoz (virtuális gépekhez, virtuális gépekhez és ARC-gépekhez), amelyek a kiválasztott címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (P1 alsík) az összes erőforráshoz (erőforrásszinthez) a kijelölt címkével | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 alsíkkal) az összes olyan erőforráshoz (virtuális gépekhez és ARC-gépekhez), amelyek a kijelölt címkenevet és címkeértéket(ek) kapják. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja az Azure Defender for Serverst úgy, hogy engedélyezve legyen (p1 alsíkkal) az összes erőforráshoz (erőforrásszint) | Az Azure Defender for Servers valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. Ez a szabályzat engedélyezi a Defender for Servers csomagot (P1 altervvel) a kijelölt hatókörben (előfizetés vagy erőforráscsoport) lévő összes erőforráshoz (virtuális gépekhez és ARC-gépekhez). | DeployIfNotExists, Disabled | 1.0.0 |
Service Bus
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A RootManageSharedAccessKey kivételével minden engedélyezési szabályt el kell távolítani a Service Bus-névtérből | A Service Bus-ügyfelek nem használhatnak névtérszintű hozzáférési szabályzatot, amely hozzáférést biztosít a névtér összes üzenetsorához és témaköréhez. A legkevésbé jogosultsági biztonsági modellhez igazodva az üzenetsorok és témakörök entitásszinten kell létrehoznia hozzáférési szabályzatokat, hogy csak az adott entitáshoz legyen hozzáférése | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Service Bus-névtereken le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure Service Bus-névterek kizárólag Microsoft Entra-azonosító identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/disablelocalauth-sb. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Service Bus-névterek konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure ServiceBus-névterek kizárólag Microsoft Entra ID-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/disablelocalauth-sb. | Módosítás, letiltva | 1.0.1 |
| Service Bus-névterek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Privát DNS-zóna kapcsolódik a virtuális hálózathoz a Service Bus-névterek feloldásához. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Service Bus-névterek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Service Bus-névterekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A Service Bus-névtereknek le kell tiltania a nyilvános hálózati hozzáférést | Az Azure Service Bus nyilvános hálózati hozzáférését le kell tiltani. A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az erőforrás nem érhető el a nyilvános interneten. Ehelyett privát végpontok létrehozásával korlátozhatja az erőforrások kitettségét. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Service Bus-névtereknek engedélyezniük kell a kettős titkosítást | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Service Bus Premium-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Service Bus támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi a Service Bus által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy a Service Bus csak a prémium szintű névterek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
Service Fabric
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
SignalR
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure SignalR szolgáltatásnak le kell tiltania a nyilvános hálózati hozzáférést | Az Azure SignalR service-erőforrás biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/asrs/networkaclsleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure SignalR szolgáltatásnak engedélyeznie kell a diagnosztikai naplókat | Diagnosztikai naplók engedélyezésének naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR szolgáltatásnak le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure SignalR szolgáltatás kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SignalR szolgáltatásnak privát kapcsolattal kompatibilis termékváltozatot kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen, amely megvédi az erőforrásokat a nyilvános adatszivárgási kockázatoktól. A szabályzat a Private Link-kompatibilis termékváltozatokra korlátozza az Azure SignalR Service-hez. További információ a privát hivatkozásról: https://aka.ms/asrs/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure SignalR szolgáltatás konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure SignalR szolgáltatás kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Módosítás, letiltva | 1.0.0 |
| Privát végpontok konfigurálása az Azure SignalR Service-be | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure SignalR Service-erőforrásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Privát DNS-zónák konfigurálása privát végpontokhoz az Azure SignalR Service-hez való csatlakozáshoz | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure SignalR-szolgáltatás erőforrásához való feloldás érdekében. További információ: https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR szolgáltatás erőforrásainak módosítása a nyilvános hálózati hozzáférés letiltásához | Az Azure SignalR service-erőforrás biztonságának javítása érdekében győződjön meg arról, hogy az nem érhető el a nyilvános internethez, és csak privát végpontról érhető el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/asrs/networkaclsleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Módosítás, letiltva | 1.1.0 |
Site Recovery
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Azure Recovery Services-tárolók konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz a Recovery Services-tárolókhoz való feloldás érdekében. További információ: https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Privát végpontok konfigurálása Azure Recovery Services-tárolókon | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. Ha privát végpontokat társít a Recovery Services-tárolók webhely-helyreállítási erőforrásaihoz, csökkentheti az adatszivárgási kockázatokat. A privát hivatkozások használatához a felügyeltszolgáltatás-identitást hozzá kell rendelni a Recovery Services-tárolókhoz. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A Recovery Services-tárolóknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Recovery Services-tárolókhoz való leképezésével csökken az adatszivárgás kockázata. További információ az Azure Site Recovery privát hivatkozásairól: https://aka.ms/HybridScenarios-PrivateLink és https://aka.ms/AzureToAzure-PrivateLink. | Naplózás, letiltva | 1.0.0-előzetes verzió |
SQL
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A MySQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda kiépítésének naplózása a MySQL-kiszolgálóhoz a Microsoft Entra-hitelesítés engedélyezéséhez. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | AuditIfNotExists, Disabled | 1.1.1 |
| A PostgreSQL-kiszolgálókhoz Microsoft Entra-rendszergazdát kell kiépíteni | Microsoft Entra-rendszergazda kiépítésének naplózása a PostgreSQL-kiszolgálóhoz a Microsoft Entra-hitelesítés engedélyezéséhez. A Microsoft Entra-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások egyszerűsített engedélykezelését és központosított identitáskezelését | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A rugalmas Azure MySQL-kiszolgálónak engedélyeznie kell a Microsoft Entra-hitelesítést | A helyi hitelesítési módszerek letiltása és a csak a Microsoft Entra-hitelesítés engedélyezése növeli a biztonságot azáltal, hogy biztosítja, hogy a rugalmas Azure MySQL-kiszolgálóhoz kizárólag a Microsoft Entra-identitások férhessenek hozzá. | AuditIfNotExists, Disabled | 1.0.1 |
| Az Azure SQL Database-nek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure SQL Database csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a Csak Microsoft Entra hitelesítést | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a kiszolgálók létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure SQL Database-nek engedélyeznie kell a microsoft entra-only hitelesítést a létrehozás során | Az Azure SQL logikai kiszolgálóinak csak Microsoft Entra-hitelesítéssel történő létrehozását követelheti meg. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.2.0 |
| A felügyelt Azure SQL-példánynak engedélyeznie kell a Microsoft Entra-hitelesítést | Megkövetelheti, hogy a felügyelt Azure SQL-példány csak Microsoft Entra-hitelesítést használjon. Ez a szabályzat nem akadályozza meg, hogy a felügyelt Azure SQL-példányok helyi hitelesítéssel legyenek létrehozva. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak le kell tiltania a nyilvános hálózati hozzáférést | Ha letiltja a nyilvános hálózati hozzáférést (nyilvános végpontot) a felügyelt Azure SQL-példányokon, azzal javítja a biztonságot, hogy azok csak a virtuális hálózatokon belülről vagy privát végpontokon keresztül érhetők el. A nyilvános hálózati hozzáféréssel kapcsolatos további információkért látogasson el https://aka.ms/mi-public-endpointide. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A felügyelt Azure SQL-példányoknak engedélyezniük kell a microsoft entra-only hitelesítést a létrehozás során | A felügyelt Azure SQL-példány csak Microsoft Entra-hitelesítéssel történő létrehozását követelheti meg. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/adonlycreate. | Naplózás, megtagadás, letiltva | 1.2.0 |
| Az Advanced Threat Protection konfigurálása az Azure Database for MariaDB-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont a mariaDB-kiszolgálók nem alapszintű Azure-adatbázisán, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.2.0 |
| Az Advanced Threat Protection konfigurálása az Azure Database for MySQL-kiszolgálókon való engedélyezéséhez | Engedélyezze az Advanced Threat Protectiont a mySQL-kiszolgálók nem alapszintű Azure-adatbázisán, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.2.0 |
| Az Advanced Threat Protection konfigurálása az Azure Database for PostgreSQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Advanced Threat Protectiont a nem alapszintű Azure Database for PostgreSQL-kiszolgálókon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 1.2.0 |
| Az Azure Defender konfigurálása felügyelt SQL-példányokon való engedélyezésre | Engedélyezze az Azure Defendert a felügyelt Azure SQL-példányokon, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists, Disabled | 2.0.0 |
| Az Azure Defender konfigurálása az SQL-kiszolgálókon való engedélyezéshez | Engedélyezze az Azure Defendert az Azure SQL Serveren, hogy észlelje az adatbázisok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérleteket jelző rendellenes tevékenységeket. | DeployIfNotExists | 2.1.0 |
| Az Azure SQL-adatbáziskiszolgálók diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Naplók naplózását teszi lehetővé az Azure SQL Database-kiszolgálóhoz, és a naplókat egy Log Analytics-munkaterületre streameli, amikor a naplózást hiányzó SQL Servert létrehozták vagy frissítették | DeployIfNotExists, Disabled | 1.0.2 |
| Az Azure SQL Server konfigurálása a nyilvános hálózati hozzáférés letiltására | A nyilvános hálózati hozzáférési tulajdonság letiltása leállítja a nyilvános kapcsolatot, így az Azure SQL Server csak privát végpontról érhető el. Ez a konfiguráció letiltja a nyilvános hálózati hozzáférést az Azure SQL Server összes adatbázisához. | Módosítás, letiltva | 1.0.0 |
| Az Azure SQL Server konfigurálása privát végpontkapcsolatok engedélyezéséhez | A privát végpontkapcsolatok lehetővé teszik az Azure SQL Database-hez való privát kapcsolatot egy virtuális hálózaton belüli privát IP-címen keresztül. Ez a konfiguráció javítja a biztonsági helyzetet, és támogatja az Azure hálózati eszközeit és forgatókönyveit. | DeployIfNotExists, Disabled | 1.0.0 |
| Sql-kiszolgálók konfigurálása naplózás engedélyezésére | Annak érdekében, hogy az SQL-objektumokon végrehajtott műveletek rögzítve legyenek, az SQL-kiszolgálóknak engedélyezve kell lennie a naplózásnak. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | DeployIfNotExists, Disabled | 3.0.0 |
| SQL-kiszolgálók konfigurálása a Log Analytics-munkaterület naplózásának engedélyezésére | Annak érdekében, hogy az SQL-objektumokon végrehajtott műveletek rögzítve legyenek, az SQL-kiszolgálóknak engedélyezve kell lennie a naplózásnak. Ha a naplózás nincs engedélyezve, ez a szabályzat úgy konfigurálja a naplózási eseményeket, hogy a megadott Log Analytics-munkaterületre áramoljanak. | DeployIfNotExists, Disabled | 1.0.0 |
| Csatlakozás szabályozást engedélyezni kell a PostgreSQL-adatbáziskiszolgálók számára | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van Csatlakozás szabályozás. Ez a beállítás lehetővé teszi az ip-címenkénti ideiglenes kapcsolatszabályozást túl sok érvénytelen jelszó-bejelentkezési hiba esetén. | AuditIfNotExists, Disabled | 1.0.0 |
| Üzembe helyezés – Az SQL Database diagnosztikai beállításainak konfigurálása a Log Analytics-munkaterületre | Üzembe helyezi az SQL Database diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó SQL Database-adatbázisok létrejönnek vagy frissülnek. | DeployIfNotExists, Disabled | 4.0.0 |
| Advanced Data Security üzembe helyezése SQL-kiszolgálókon | Ez a szabályzat lehetővé teszi az Advanced Data Security használatát az SQL Serveren. Ez magában foglalja a fenyegetésészlelés és a biztonságirés-felmérés bekapcsolását. Automatikusan létrehoz egy tárfiókot az SQL Serverrel azonos régióban és erőforráscsoportban a vizsgálati eredmények tárolásához egy "sqlva" előtaggal. | DeployIfNotExists | 1.3.0 |
| Diagnosztikai Gépház üzembe helyezése az Azure SQL Database-hez az Event Hubon | Üzembe helyezi az Azure SQL Database diagnosztikai beállításait, hogy egy regionális eseményközpontba streameljen minden olyan Azure SQL Database-en, amely nem rendelkezik ezzel a diagnosztikai beállítással, létrejön vagy frissítve lesz. | DeployIfNotExists | 1.2.0 |
| Az SQL DB transzparens adattitkosításának üzembe helyezése | Transzparens adattitkosítás engedélyezése SQL-adatbázisokon | DeployIfNotExists, Disabled | 2.2.0 |
| A leválasztást a PostgreSQL-adatbáziskiszolgálók esetében kell naplózni. | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve log_disconnections. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| A naplóellenőrzési pontokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_checkpoints beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| A naplókapcsolatokat engedélyezni kell a PostgreSQL-adatbáziskiszolgálókhoz | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_connections beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| A napló időtartamát engedélyezni kell a PostgreSQL-adatbáziskiszolgálók esetében | Ez a szabályzat segít a környezetben lévő PostgreSQL-adatbázisok naplózásában anélkül, hogy engedélyezve van log_duration beállítás. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
| A MariaDB-kiszolgálónak virtuális hálózati szolgáltatásvégpontot kell használnia | A virtuális hálózatalapú tűzfalszabályok lehetővé teszik egy adott alhálózatról az Azure Database for MariaDB-be irányuló forgalmat, miközben biztosítják, hogy a forgalom az Azure határain belül maradjon. Ez a szabályzat lehetővé teszi annak naplózását, hogy az Azure Database for MariaDB virtuális hálózati szolgáltatásvégpontot használ-e. | AuditIfNotExists, Disabled | 1.0.2 |
| A MySQL-kiszolgálónak virtuális hálózati szolgáltatásvégpontot kell használnia | A virtuális hálózatalapú tűzfalszabályok lehetővé teszik egy adott alhálózatról az Azure Database for MySQL-be irányuló forgalmat, miközben biztosítják, hogy a forgalom az Azure határain belül maradjon. Ez a szabályzat lehetővé teszi annak naplózását, hogy az Azure Database for MySQL virtuális hálózati szolgáltatásvégpontot használ-e. | AuditIfNotExists, Disabled | 1.0.2 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| A PostgreSQL-kiszolgálónak virtuális hálózati szolgáltatásvégpontot kell használnia | A virtuális hálózatalapú tűzfalszabályok lehetővé teszik egy adott alhálózatról az Azure Database for PostgreSQL-be irányuló forgalmat, miközben biztosítják, hogy a forgalom az Azure határain belül maradjon. Ez a szabályzat lehetővé teszi annak naplózását, hogy az Azure Database for PostgreSQL virtuális hálózati szolgáltatásvégpontot használ-e. | AuditIfNotExists, Disabled | 1.0.2 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas MySQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása javítja a biztonságot, mert biztosítja, hogy a rugalmas Azure Database for MySQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A rugalmas PostgreSQL-kiszolgálók nyilvános hálózati hozzáférését le kell tiltani | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy a rugalmas Azure Database for PostgreSQL-kiszolgálók csak privát végpontról érhetők el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 3.0.1 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| Az SQL-naplózási beállításoknak konfigurálniuk kell a kritikus tevékenységek rögzítésére szolgáló műveletcsoportokat | Az AuditActionsAndGroups tulajdonságnak legalább SUCCESSFUL_DATABA Standard kiadás_AUTHENTICATION_GROUP, FAILED_DATABA Standard kiadás_AUTHENTICATION_GROUP BATCH_COMPLETED_GROUP kell tartalmaznia az alapos naplózás biztosítása érdekében | AuditIfNotExists, Disabled | 1.0.0 |
| Az SQL Database-nek kerülnie kell a GRS biztonsági mentési redundanciáinak használatát | Az adatbázisoknak kerülnie kell az alapértelmezett georedundáns tárolás használatát a biztonsági mentésekhez, ha az adattárolási szabályok megkövetelik, hogy az adatok egy adott régión belül maradjanak. Megjegyzés: Az Azure Policy nem lesz kényszerítve adatbázis T-SQL használatával történő létrehozásakor. Ha nincs explicit módon megadva, a georedundáns biztonsági mentési tárterülettel rendelkező adatbázis a T-SQL-en keresztül jön létre. | Megtagadás, letiltva | 2.0.0 |
| A felügyelt SQL-példánynak rendelkeznie kell az 1.2 minimális TLS-verziójával | A minimális TLS-verzió 1.2-es verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy a felügyelt SQL-példány csak a TLS 1.2-es verzióját használó ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, letiltva | 1.0.1 |
| A felügyelt SQL-példányoknak kerülnie kell a GRS biztonsági mentési redundanciáinak használatát | A felügyelt példányoknak kerülnie kell az alapértelmezett georedundáns tárolás használatát a biztonsági mentésekhez, ha az adattárolási szabályok megkövetelik, hogy az adatok egy adott régión belül maradjanak. Megjegyzés: Az Azure Policy nem lesz kényszerítve adatbázis T-SQL használatával történő létrehozásakor. Ha nincs explicit módon megadva, a georedundáns biztonsági mentési tárterülettel rendelkező adatbázis a T-SQL-en keresztül jön létre. | Megtagadás, letiltva | 2.0.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| Az Azure SQL Database virtuális hálózati tűzfalszabályát engedélyezni kell a megadott alhálózatról érkező forgalom engedélyezéséhez | A virtuális hálózatokon alapuló tűzfalszabályok lehetővé teszik egy adott alhálózatról az Azure SQL Database-be irányuló forgalmat, miközben biztosítják, hogy a forgalom az Azure határain belül maradjon. | AuditIfNotExists | 1.0.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
SQL Managed Instance
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az ügyfél által felügyelt kulcstitkosítást a felügyelt Arc SQL-példányok CMK-titkosításának részeként kell használni. | A CMK-titkosítás részeként az ügyfél által felügyelt kulcstitkosítást kell használni. További információ: https://aka.ms/EnableTDEArcSQLMI. | Naplózás, letiltva | 1.0.0 |
| A TLS 1.2 protokollt az Arc SQL felügyelt példányaihoz kell használni. | A hálózati beállítások részeként a Microsoft azt javasolja, hogy csak TLS 1.2 TLS protokollokat engedélyezz az SQL Serversben. További információ az SQL Server hálózati beállításairól a következő címen https://aka.ms/TlsSettingsSQLServer: . | Naplózás, letiltva | 1.0.0 |
| transzparens adattitkosítás engedélyezni kell a felügyelt Arc SQL-példányokhoz. | Transzparens adattitkosítás (TDE) engedélyezése inaktív állapotban egy Azure Arc-kompatibilis felügyelt SQL-példányon. További információ: https://aka.ms/EnableTDEArcSQLMI. | Naplózás, letiltva | 1.0.0 |
SQL Server
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Rendszer által hozzárendelt identitás engedélyezése SQL virtuális gépen | A rendszer által hozzárendelt identitás engedélyezése nagy léptékben SQL virtuális gépekre. Ezt a szabályzatot előfizetési szinten kell hozzárendelnie. Az erőforráscsoport szintjén történő hozzárendelés nem a várt módon működik. | DeployIfNotExists, Disabled | 1.0.0-előzetes verzió |
| Konfigurálja az Arc-kompatibilis kiszolgálókat a telepített SQL Server-bővítménysel az SQL ajánlott eljárásainak felmérésének engedélyezéséhez vagy letiltásához. | Az ajánlott eljárások kiértékeléséhez engedélyezze vagy tiltsa le az SQL-beli ajánlott eljárások értékelését az Arc-kompatibilis kiszolgálókON található SQL Server-példányokon. További információ: https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Feliratkozhat a jogosult Arc-kompatibilis SQL Server-példányokra a Kiterjesztett biztonsági Frissítések. | Előfizetés jogosult Arc-kompatibilis SQL Server-példányokra, amelyek licenctípusa fizetős vagy PAYG a kiterjesztett biztonsági Frissítések. További információ a kiterjesztett biztonsági frissítésekről https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak következetesen érvényes alkalmazásvezérlési szabályzatokkal kell rendelkezniük | Legalább alkalmazza a Microsoft WDAC alapszabályzatát kényszerített módban az összes Azure Stack HCI-kiszolgálón. Az alkalmazott Windows Defender alkalmazásvezérlő (WDAC) házirendnek konzisztensnek kell lennie az ugyanazon fürt kiszolgálói között. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-kiszolgálóknak meg kell felelniük a biztonságos magra vonatkozó követelményeknek | Győződjön meg arról, hogy minden Azure Stack HCI-kiszolgáló megfelel a biztonságos magra vonatkozó követelményeknek. A biztonságos magú kiszolgálóra vonatkozó követelmények engedélyezéséhez: 1. Az Azure Stack HCI-fürtök lapon nyissa meg a Windows Rendszergazda Centert, és válassza a Csatlakozás. 2. Lépjen a Biztonsági bővítményre, és válassza a Biztonságos mag lehetőséget. 3. Jelölje ki a nem engedélyezett beállításokat, és kattintson az Engedélyezés gombra. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Stack HCI-rendszereknek titkosított kötetekkel kell rendelkezniük | A BitLocker használatával titkosíthatja az operációs rendszert és az adatköteteket az Azure Stack HCI-rendszereken. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
| [Előzetes verzió]: A gazdagép- és virtuálisgép-hálózatkezelést védeni kell az Azure Stack HCI-rendszereken | Az Azure Stack HCI-gazdahálózaton és a virtuálisgép-hálózati kapcsolatokon tárolt adatok védelme. | Naplózás, Letiltva, AuditIfNotExists | 1.0.0-előzetes verzió |
Tárolás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure NetApp Files SMB-köteteinek SMB3 titkosítást kell használniuk | Tiltsa le az SMB-kötetek SMB3-titkosítás nélküli létrehozását az adatintegritás és az adatvédelme érdekében. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az NFSv4.1 típusú Azure NetApp Files-köteteknek Kerberos-adattitkosítást kell használniuk | Csak a Kerberos adatvédelmi (5p) biztonsági mód használatát engedélyezi az adatok titkosításának biztosításához. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az NFSv4.1 típusú Azure NetApp Files-köteteknek Kerberos-adatintegritást vagy adatvédelmet kell használniuk | Győződjön meg arról, hogy legalább a Kerberos-integritás (krb5i) vagy a Kerberos-adatvédelem (krb5p) van kiválasztva az adatok integritásának és adatvédettségének biztosítása érdekében. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure NetApp Files-kötetek nem használhatnak NFSv3 protokolltípust | Tiltsa le az NFSv3 protokolltípus használatát a kötetekhez való nem biztonságos hozzáférés megakadályozása érdekében. Az NFSv4.1-et Kerberos-protokollal kell használni az NFS-kötetek eléréséhez az adatintegritás és a titkosítás biztosítása érdekében. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása blobcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a blobcsoportAZONOSÍTÓ privát végpont dns-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása blob_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy blob_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása az elosztott fájlrendszerbeli csoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot egy dfs groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása dfs_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja egy dfs_secondary groupID privát végpont DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása fájlcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja egy fájlcsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása üzenetsorcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a dns-feloldást egy üzenetsorcsoport-azonosító privát végpontja esetében. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása queue_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy queue_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása táblacsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot, hogy felülbírálja a táblacsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása table_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy table_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása webcsoportazonosítóhoz | Konfigurálja a privát DNS-zónacsoportot úgy, hogy felülbírálja a webcsoportazonosító privát végpontjának DNS-feloldását. | DeployIfNotExists, Disabled | 1.0.0 |
| Privát DNS-zónaazonosító konfigurálása web_secondary groupID-hez | Konfigurálja a privát DNS-zónacsoportot egy web_secondary groupID privát végpont DNS-feloldásának felülbírálásához. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure File Sync konfigurálása privát DNS-zónák használatára | Ha egy regisztrált kiszolgálóról szeretné elérni a Storage Sync Service erőforrás-adaptereinek privát végpontjait, konfigurálnia kell a DNS-t, hogy feloldja a megfelelő neveket a privát végpont privát IP-címére. Ez a szabályzat létrehozza a szükséges Azure saját DNS Zóna és A rekordokat a Storage Sync Service privát végpont(ok) interfészeihez. | DeployIfNotExists, Disabled | 1.1.0 |
| Az Azure File Sync konfigurálása privát végpontokkal | A rendszer egy privát végpontot helyez üzembe a megadott Storage Sync Service-erőforráshoz. Ez lehetővé teszi, hogy a Storage Sync Service-erőforrást a szervezet hálózatának privát IP-címteréből kezelje, nem pedig az internetről elérhető nyilvános végponton keresztül. Egy vagy több privát végpont megléte önmagában nem tiltja le a nyilvános végpontot. | DeployIfNotExists, Disabled | 1.0.0 |
| A Blob Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Blob Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó blobszolgáltatás létrejön vagy frissül. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A File Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a File Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó fájlszolgáltatás létrejön vagy frissül. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A Queue Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Queue Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó üzenetsor-szolgáltatások létrejönnek vagy frissülnek. Megjegyzés: Ez a szabályzat nem aktiválódik a tárfiók létrehozásakor, és szervizelési feladat létrehozását igényli a fiók frissítéséhez. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Tárolási fiókok diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a storage-fiókok diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat hiányzó tárfiókok létrejönnek vagy frissülnek. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| A Table Services diagnosztikai beállításainak konfigurálása Log Analytics-munkaterületre | Üzembe helyezi a Table Services diagnosztikai beállításait az erőforrásnaplók Log Analytics-munkaterületre való streameléséhez, amikor a diagnosztikai beállításokat nem tartalmazó táblaszolgáltatás létrejön vagy frissül. Megjegyzés: Ez a szabályzat nem aktiválódik a tárfiók létrehozásakor, és szervizelési feladat létrehozását igényli a fiók frissítéséhez. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Adatok biztonságos átvitelének konfigurálása tárfiókon | A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Módosítás, letiltva | 1.0.0 |
| Tárfiók konfigurálása privát kapcsolati kapcsolat használatára | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok tárfiókhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Tárfiókok konfigurálása a nyilvános hálózati hozzáférés letiltásához | A tárfiókok biztonságának javítása érdekében győződjön meg arról, hogy azok nem érhetők el a nyilvános interneten, és csak privát végpontról érhetők el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/storageaccountpublicnetworkaccessleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Módosítás, letiltva | 1.0.1 |
| A Storage-fiók nyilvános hozzáférésének beállítása letiltottként | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | Módosítás, letiltva | 1.0.0 |
| A Storage-fiók konfigurálása a blobok verziószámozásának engedélyezéséhez | Engedélyezheti a Blob Storage verziószámozását az objektumok korábbi verzióinak automatikus karbantartásához. Ha engedélyezve van a blob verziószámozása, a blob korábbi verzióihoz is hozzáférhet, hogy helyreállítsa az adatokat, ha azokat módosították vagy törölték. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Defender for Storage (klasszikus) üzembe helyezése tárfiókokon | Ez a házirend lehetővé teszi a Defender for Storage (klasszikus) használatát a tárfiókokon. | DeployIfNotExists, Disabled | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Módosítás – Az Azure File Sync konfigurálása a nyilvános hálózati hozzáférés letiltásához | Az Azure File Sync internetről elérhető nyilvános végpontját a szervezeti szabályzat letiltja. Továbbra is hozzáférhet a Társzinkronizálási szolgáltatáshoz a magánvégpont(ok)on keresztül. | Módosítás, letiltva | 1.0.0 |
| Módosítás – A Storage-fiók konfigurálása a blobok verziószámozásának engedélyezéséhez | Engedélyezheti a Blob Storage verziószámozását az objektumok korábbi verzióinak automatikus karbantartásához. Ha engedélyezve van a blob verziószámozása, a blob korábbi verzióihoz is hozzáférhet, hogy helyreállítsa az adatokat, ha azokat módosították vagy törölték. Vegye figyelembe, hogy a meglévő tárfiókok nem módosulnak a Blob Storage verziószámozásának engedélyezéséhez. Csak az újonnan létrehozott tárfiókok esetében engedélyezett a Blob Storage verziószámozása | Módosítás, letiltva | 1.0.0 |
| Az Azure File Sync esetében le kell tiltani a nyilvános hálózati hozzáférést | A nyilvános végpont letiltásával korlátozhatja a Storage Sync Service-erőforráshoz való hozzáférést a szervezet hálózatán jóváhagyott privát végpontokra irányuló kérelmekre. A nyilvános végpontra irányuló kérések engedélyezésével kapcsolatban semmi sem bizonytalan, azonban a szabályozási, jogi vagy szervezeti szabályzat követelményeinek való megfelelés érdekében letilthatja azt. A Társzinkronizálási szolgáltatás nyilvános végpontját letilthatja úgy, hogy az erőforrás bejövőTrafficPolicy tulajdonságát AllowVirtualNetworksOnly értékre állítja. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Queue Storage-nak ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által felügyelt kulcsok nagyobb rugalmassággal biztosítják a várólista-tárolást. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiók titkosítási hatóköreinek kettős titkosítást kell használniuk az inaktív adatokhoz | Engedélyezze az infrastruktúra-titkosítást a tárfiók titkosítási hatóköreinek többi részén a további biztonság érdekében. Az infrastruktúra titkosítása biztosítja az adatok kétszeri titkosítását. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókkulcsok nem lehetnek lejártak | Győződjön meg arról, hogy a felhasználói tárfiókkulcsok nem járnak le a kulcslejárati szabályzat beállításakor, hogy a kulcsok lejártakor műveletet hajtson végre a fiókkulcsok biztonsága érdekében. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A tárfiókok számára engedélyezni kell a hozzáférést a megbízható Microsoft-szolgáltatások | Egyes Microsoft-szolgáltatások, amelyek a tárfiókokat használják, olyan hálózatokból működnek, amelyek hálózati szabályokkal nem tudnak hozzáférést biztosítani. Az ilyen típusú szolgáltatás rendeltetésszerű működéséhez engedélyezze, hogy a megbízható Microsoft-szolgáltatások megkerüljék a hálózati szabályokat. Ezek a szolgáltatások ezután erős hitelesítést használnak a tárfiók eléréséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókokat korlátozni kell az engedélyezett termékváltozatokkal | Korlátozza a szervezet által üzembe helyezhető tárfiók-termékváltozatokat. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára le kell tiltani a nyilvános hálózati hozzáférést | A tárfiókok biztonságának javítása érdekében győződjön meg arról, hogy azok nem érhetők el a nyilvános interneten, és csak privát végpontról érhetők el. Tiltsa le a nyilvános hálózati hozzáférési tulajdonságot a cikkben https://aka.ms/storageaccountpublicnetworkaccessleírtak szerint. Ez a beállítás letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címterekről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. Ez csökkenti az adatszivárgási kockázatokat. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak konfigurálva kell lennie a közös hozzáférésű jogosultságkódra (SAS) vonatkozó szabályzatoknak | Győződjön meg arról, hogy a tárfiókok rendelkeznek engedélyezve a közös hozzáférésű jogosultságkód (SAS) lejárati szabályzatával. A felhasználók SAS használatával delegálják az Erőforrásokhoz való hozzáférést az Azure Storage-fiókban. Az SAS lejárati szabályzata pedig a felső lejárati korlátot javasolja, amikor egy felhasználó létrehoz egy SAS-jogkivonatot. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak a megadott minimális TLS-verzióval kell rendelkezniük | Konfiguráljon egy minimális TLS-verziót az ügyfélalkalmazás és a tárfiók közötti biztonságos kommunikációhoz. A biztonsági kockázat minimalizálása érdekében az ajánlott minimális TLS-verzió a legújabb kiadású verzió, amely jelenleg TLS 1.2. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok megakadályozzák a bérlők közötti objektumreplikálást | A tárfiók objektumreplikációs korlátozásának naplózása. Alapértelmezés szerint a felhasználók egy forrástárfiókkal konfigurálhatják az objektumreplikálást egy Azure AD-bérlőben és egy másik bérlő célfiókjában. Ez biztonsági problémát jelent, mert az ügyfél adatai replikálhatók egy olyan tárfiókba, amely az ügyfél tulajdonában van. Ha hamisra állítja aCrossTenantReplication engedélyezését, az objektumok replikálása csak akkor konfigurálható, ha a forrás- és célfiókok ugyanabban az Azure AD-bérlőben találhatók. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókok számára meg kell akadályozni a megosztott kulcs elérését | Az Azure Active Directory (Azure AD) naplózási követelménye a tárfiókra vonatkozó kérések engedélyezéséhez. A kérések alapértelmezés szerint az Azure Active Directory hitelesítő adataival vagy a megosztott kulcs engedélyezéséhez használt fiókhozzáférési kulccsal engedélyezhetők. A két hitelesítési típus közül az Azure AD kiváló biztonságot és könnyű használatot biztosít a megosztott kulcshoz képest, ezért a Microsoft ennek a használatát javasolja. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| A Table Storage-nak ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által kezelt kulcsok nagyobb rugalmassággal biztosítják a táblatárolót. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, megtagadás, letiltva | 1.0.0 |
Stream Analytics
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához | Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A Stream Analytics-feladatnak megbízható bemenetekhez és kimenetekhez kell csatlakoznia | Győződjön meg arról, hogy a Stream Analytics-feladatok nem rendelkeznek tetszőleges bemeneti vagy kimeneti kapcsolatokkal, amelyek nincsenek definiálva az engedélyezési listában. Ez ellenőrzi, hogy a Stream Analytics-feladatok nem exfiltálják-e az adatokat úgy, hogy a szervezeten kívüli tetszőleges fogadókhoz csatlakoznak. | Megtagadás, letiltás, naplózás | 1.1.0 |
| A Stream Analytics-feladatnak felügyelt identitást kell használnia a végpontok hitelesítéséhez | Győződjön meg arról, hogy a Stream Analytics-feladatok csak felügyelt identitáshitelesítéssel csatlakoznak a végpontokhoz. | Megtagadás, letiltás, naplózás | 1.0.0 |
Szinapszis
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A Synapse-munkaterület naplózását engedélyezni kell | A Synapse-munkaterületen végzett naplózásnak engedélyezni kell az adatbázis-tevékenységek nyomon követését a dedikált SQL-készletek összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 1.0.0 |
| A dedikált Azure Synapse Analytics SQL-készleteknek engedélyeznie kell a titkosítást | Engedélyezze a dedikált Azure Synapse Analytics SQL-készletek transzparens adattitkosítását a inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében. Vegye figyelembe, hogy a készlet transzparens adattitkosításának engedélyezése hatással lehet a lekérdezési teljesítményre. További részletekért lásd: https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Synapse Workspace SQL Servernek tLS 1.2-es vagy újabb verzióját kell futtatnia | A TLS 1.2-es vagy újabb verziójának beállítása javítja a biztonságot, mivel biztosítja, hogy az Azure Synapse-munkaterület SQL-kiszolgálója csak tLS 1.2-es vagy újabb verziójú ügyfelekről érhető el. Az 1.2-nél kisebb TLS-verziók használata nem ajánlott, mivel jól dokumentált biztonsági résekkel rendelkeznek. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Synapse-munkaterületeknek csak jóváhagyott célokra kell engedélyezni a kimenő adatforgalmat | Növelje a Synapse-munkaterület biztonságát azáltal, hogy csak jóváhagyott célokra engedélyezi a kimenő adatforgalmat. Ez segít megelőzni az adatkiszivárgást azáltal, hogy érvényesíti a célt az adatok elküldése előtt. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure Synapse-munkaterületeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy a Synapse-munkaterület nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Synapse-munkaterületek expozícióját. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Az Azure Synapse Workspace dedikált SQL minimális TLS-verziójának konfigurálása | Az ügyfelek az API használatával emelhetik vagy csökkenthetik a minimális TLS-verziót az új Synapse-munkaterületek vagy a meglévő munkaterületek esetében. Így azok a felhasználók, akiknek alacsonyabb ügyfélverziót kell használniuk a munkaterületeken, csatlakozhatnak, míg a biztonsági követelményekkel rendelkező felhasználók emelhetik a minimális TLS-verziót. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Módosítás, letiltva | 1.1.0 |
| Azure Synapse-munkaterületek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a Synapse-munkaterület nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Módosítás, letiltva | 1.0.0 |
| Azure Synapse-munkaterületek konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Synapse-munkaterülethez való feloldás érdekében. További információ: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Azure Synapse-munkaterületek konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatot az Azure-szolgáltatásokhoz a forrásban vagy a célhelyen. A privát végpontok Azure Synapse-munkaterületekre való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Synapse-munkaterületek konfigurálása naplózás engedélyezéséhez | Az SQL-objektumokon végrehajtott műveletek rögzítése érdekében a Synapse-munkaterületeken engedélyezve kell lennie a naplózásnak. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | DeployIfNotExists, Disabled | 2.0.0 |
| Synapse-munkaterületek konfigurálása úgy, hogy engedélyezve legyen a naplózás a Log Analytics-munkaterületen | Az SQL-objektumokon végrehajtott műveletek rögzítése érdekében a Synapse-munkaterületeken engedélyezve kell lennie a naplózásnak. Ha a naplózás nincs engedélyezve, ez a szabályzat úgy konfigurálja a naplózási eseményeket, hogy a megadott Log Analytics-munkaterületre áramoljanak. | DeployIfNotExists, Disabled | 1.0.0 |
| Konfigurálja a Synapse-munkaterületeket úgy, hogy csak a Microsoft Entra-identitásokat használják hitelesítéshez | Synapse-munkaterületek megkövetelése és újrakonfigurálása a Csak Microsoft Entra-hitelesítés használatához. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Letiltja a helyi hitelesítés engedélyezését, és újra engedélyezi a csak Microsoft Entra-hitelesítést az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Módosítás, letiltva | 1.0.0 |
| Konfigurálja a Synapse-munkaterületeket úgy, hogy csak Microsoft Entra-identitásokat használjanak hitelesítésre a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel való létrehozásához és újrakonfigurálásához szükséges. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Módosítás, letiltva | 1.2.0 |
| El kell távolítani az IP-tűzfalszabályokat az Azure Synapse-munkaterületeken | Az ÖSSZES IP-tűzfalszabály eltávolítása javítja a biztonságot azáltal, hogy az Azure Synapse-munkaterület csak privát végpontról érhető el. Ez a konfiguráció naplóz olyan tűzfalszabályok létrehozását, amelyek lehetővé teszik a nyilvános hálózati hozzáférést a munkaterületen. | Naplózás, letiltva | 1.0.0 |
| Engedélyezni kell a felügyelt munkaterület virtuális hálózatát az Azure Synapse-munkaterületeken | A felügyelt munkaterület virtuális hálózatának engedélyezése biztosítja, hogy a munkaterület hálózata el legyen különítve más munkaterületektől. A virtuális hálózatban üzembe helyezett adatintegráció és Spark-erőforrások felhasználói szintű elkülönítést biztosítanak a Spark-tevékenységekhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Synapse által felügyelt privát végpontoknak csak jóváhagyott Azure Active Directory-bérlőkben lévő erőforrásokhoz kell csatlakozniuk | A Synapse-munkaterület védelme úgy, hogy csak jóváhagyott Azure Active Directory-bérlőkben (Azure AD-bérlőkben) engedélyezi az erőforrásokhoz való kapcsolódást. A jóváhagyott Azure AD-bérlők a szabályzat-hozzárendelés során határozhatók meg. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| A Synapse-munkaterület naplózási beállításainak rendelkezniük kell a kritikus tevékenységek rögzítésére konfigurált műveletcsoportokkal | Annak érdekében, hogy a naplózási naplók a lehető legáttekintősek legyenek, az AuditActionsAndGroups tulajdonságnak tartalmaznia kell az összes érintett csoportot. Javasoljuk, hogy adjon hozzá legalább SUCCESSFUL_DATABA Standard kiadás_AUTHENTICATION_GROUP, FAILED_DATABA Standard kiadás_AUTHENTICATION_GROUP és BATCH_COMPLETED_GROUP. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 1.0.0 |
| A Synapse-munkaterületeken engedélyezni kell a Microsoft Entra-hitelesítést | A Synapse-munkaterületeknek csak Microsoft Entra-hitelesítést kell használniuk. Ez a szabályzat nem akadályozza meg a munkaterületek létrehozását, ha engedélyezve van a helyi hitelesítés. Megakadályozza, hogy a helyi hitelesítés engedélyezve legyen az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Synapse-munkaterületek csak Microsoft Entra-identitásokat használhatnak hitelesítéshez a munkaterület létrehozásakor | A Synapse-munkaterületek csak Microsoft Entra-hitelesítéssel hozhatók létre. Ez a szabályzat nem blokkolja a helyi hitelesítés újbóli engedélyezését az erőforrásokon a létrehozás után. Fontolja meg inkább a "Microsoft Entra-only authentication" kezdeményezés használatát, hogy mindkettőt megkövetelje. További információ: https://aka.ms/Synapse. | Naplózás, megtagadás, letiltva | 1.2.0 |
| A Tárfiók célhelyére történő SQL-naplózással rendelkező Synapse-munkaterületeket 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy a Synapse-munkaterület SQL-naplózásának adatmegőrzését a tárfiók célhelyére állítsa legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 2.0.0 |
| A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken | A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. | AuditIfNotExists, Disabled | 1.0.0 |
Rendszerházirend
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezett erőforrás-üzembehelyezési régiók | Ez a szabályzat fenntartja a legjobban elérhető régiókat, ahol az előfizetés üzembe helyezheti az erőforrásokat. Ennek a szabályzatnak a célja annak biztosítása, hogy az előfizetése teljes hozzáféréssel rendelkezzen az Azure-szolgáltatásokhoz optimális teljesítménnyel. Ha további vagy különböző régiókra van szüksége, forduljon az ügyfélszolgálathoz. | elutasítás | 1.0.0 |
Címkék
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Címke hozzáadása erőforráscsoportokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke hozzáadása erőforrásokhoz | Hozzáadja a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. Nem módosítja az erőforráscsoportokon lévő címkéket. | módosítás | 1.0.0 |
| Címke hozzáadása előfizetésekhez | A megadott címkét és értéket egy szervizelési feladaton keresztül adja hozzá az előfizetésekhez. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | módosítás | 1.0.0 |
| Erőforráscsoport-címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforráscsoportot. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Erőforrásokra vonatkozó címke hozzáadása vagy cseréje | Hozzáadja vagy lecseréli a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. Nem módosítja az erőforráscsoportokon lévő címkéket. | módosítás | 1.0.0 |
| Címke hozzáadása vagy cseréje előfizetéseken | Szervizelési feladaton keresztül hozzáadja vagy lecseréli a megadott címkét és értéket az előfizetéseken. A meglévő erőforráscsoportok egy javítási feladat indításával javíthatók. A szabályzatok szervizelésére vonatkozó további információkért lásd https://aka.ms/azurepolicyremediation . | módosítás | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportból | Hozzáfűzi a megadott címkét és értéket az erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforráscsoportokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforráscsoportot, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforráscsoportok címkéit nem módosítja, amíg maguk az erőforráscsoportok meg nem változnak. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.0 |
| Címke és a címkéhez tartozó érték hozzáfűzése erőforrásokhoz | Hozzáfűzi a megadott címkét és értéket, valahányszor létrehoz vagy frissít egy olyan erőforrást, amelyből hiányzik a címke. A szabályzat alkalmazása előtt létrehozott erőforrások címkéit nem módosítja, amíg maguk az erőforrások meg nem változnak. Az erőforráscsoportokra nincs hatással. Új "módosítási" effektusszabályzatok érhetők el, amelyek támogatják a címkék szervizelését a meglévő erőforrásokon (lásd https://aka.ms/modifydoc). | hozzáfűzés | 1.0.1 |
| Címke öröklése az erőforráscsoportból | Hozzáadja vagy lecseréli a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Címke öröklése az erőforráscsoportból, ha hiányzik | Hozzáadja a megadott címkét és értéket a fölérendelt erőforráscsoportból, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke öröklése az előfizetésből | Hozzáadja vagy lecseréli a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást. A meglévő erőforrások egy javítási feladat indításával javíthatók. | módosítás | 1.0.0 |
| Címke öröklése az előfizetésből, ha hiányzik | Hozzáadja a megadott címkét és értéket az erőforrást tartalmazó előfizetésből, valahányszor létrehoz vagy frissít egy erőforrást, amelyből hiányzik ez a címke. A meglévő erőforrások egy javítási feladat indításával javíthatók. Ha a címke létezik, de más az értéke, akkor a meglévő érték nem fog megváltozni. | módosítás | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforráscsoportokban | Kikényszeríti egy szükséges címke és címkeérték használatát az erőforráscsoportokban. | elutasítás | 1.0.0 |
| Címke és címkeérték használatának megkövetelése erőforrásokban | Kényszeríti egy címke és a hozzá tartozó érték használatát. Az erőforráscsoportokra nincs hatással. | elutasítás | 1.0.1 |
| Címke használatának megkövetelése erőforráscsoportokban | Megköveteli egy címke meglétét az erőforráscsoportokban. | elutasítás | 1.0.0 |
| Címke használatának megkövetelése erőforrásokban | Megköveteli egy címke meglétét. Az erőforráscsoportokra nincs hatással. | elutasítás | 1.0.1 |
| Az erőforrásoknak nem kell egy adott címkével rendelkezniük. | Tagadja az adott címkét tartalmazó erőforrás létrehozását. Az erőforráscsoportokra nincs hatással. | Naplózás, megtagadás, letiltva | 2.0.0 |
Megbízható indítás
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A lemezek és az operációs rendszer lemezképének támogatnia kell a TrustedLaunch szolgáltatást | A TrustedLaunch javítja a virtuális gépek biztonságát, amelyhez operációsrendszer-lemez és operációsrendszer-rendszerkép szükséges a támogatásához (Gen 2). Ha többet szeretne megtudni a TrustedLaunchról, látogasson el https://aka.ms/trustedlaunch | Naplózás, letiltva | 1.0.0 |
| A virtuális gépnek engedélyezve kell lennie a TrustedLaunch szolgáltatásnak | Engedélyezze a TrustedLaunchot a virtuális gépen a fokozott biztonság érdekében, használja a TrustedLaunchot támogató virtuálisgép-termékváltozatot (Gen 2). Ha többet szeretne megtudni a TrustedLaunchról, látogasson el https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Naplózás, letiltva | 1.0.0 |
VirtualEnclaves
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Konfigurálja a tárfiókokat úgy, hogy csak a hálózati ACL-megkerülési konfiguráción keresztül korlátozza a hálózati hozzáférést. | A tárfiókok biztonságának javítása érdekében csak hálózati ACL-megkerüléssel engedélyezze a hozzáférést. Ezt a házirendet egy privát végponttal együtt kell használni a tárfiók-hozzáféréshez. | Módosítás, letiltva | 1.0.0 |
| Ne engedélyezze az erőforrástípusok létrehozását az engedélyezési listán kívül | Ez a szabályzat megakadályozza az erőforrástípusok explicit módon engedélyezett típusokon kívüli telepítését a virtuális enklávé biztonságának fenntartása érdekében. https://aka.ms/VirtualEnclaves | Naplózás, megtagadás, letiltva | 1.0.0 |
| Meghatározott erőforrástípusok vagy -típusok létrehozásának tiltása adott szolgáltatóknál | A paraméterlistán megadott erőforrás-szolgáltatók és -típusok nem hozhatók létre a biztonsági csapat kifejezett jóváhagyása nélkül. Ha a szabályzat-hozzárendelés kivételt kap, az erőforrás az enklávéban használható. https://aka.ms/VirtualEnclaves | Naplózás, megtagadás, letiltva | 1.0.0 |
| A hálózati adaptereket a jóváhagyott virtuális hálózat jóváhagyott alhálózatához kell csatlakoztatni | Ez a szabályzat megakadályozza, hogy a hálózati adapterek olyan virtuális hálózathoz vagy alhálózathoz csatlakozzanak, amely nincs jóváhagyva. https://aka.ms/VirtualEnclaves | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak csak a hálózati ACL-megkerülési konfiguráción keresztül kell korlátozniuk a hálózati hozzáférést. | A tárfiókok biztonságának javítása érdekében csak hálózati ACL-megkerüléssel engedélyezze a hozzáférést. Ezt a házirendet egy privát végponttal együtt kell használni a tárfiók-hozzáféréshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
VM Image Builder
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
Web PubSub
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Web PubSub Service-nek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az Azure Web PubSub szolgáltatás nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az Azure Web PubSub szolgáltatás expozícióját. További információ: https://aka.ms/awps/networkacls. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service-nek engedélyeznie kell a diagnosztikai naplókat | Diagnosztikai naplók engedélyezésének naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Web PubSub Service-nek le kell tiltani a helyi hitelesítési módszereket | A helyi hitelesítési módszerek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az Azure Web PubSub Service kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service-nek olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | A támogatott termékváltozattal az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub szolgáltatásba való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service konfigurálása a helyi hitelesítés letiltásához | Tiltsa le a helyi hitelesítési módszereket, hogy az Azure Web PubSub Service kizárólag Azure Active Directory-identitásokat igényel a hitelesítéshez. | Módosítás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az Azure Web PubSub-erőforrás nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/awps/networkacls. | Módosítás, letiltva | 1.0.0 |
| Az Azure Web PubSub Service konfigurálása privát DNS-zónák használatára | Privát DNS-zónák használatával felülbírálhatja egy privát végpont DNS-feloldását. Egy privát DNS-zóna kapcsolódik a virtuális hálózathoz az Azure Web PubSub szolgáltatáshoz való feloldás érdekében. További információ: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Az Azure Web PubSub Service konfigurálása privát végpontokkal | A privát végpontok nyilvános IP-cím nélkül csatlakoztatják a virtuális hálózatokat az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát végpontok Azure Web PubSub szolgáltatásba való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.