A NIST SP 800-53 Rev. 4 szabályozási megfelelőség beépített kezdeményezésének részletei
Az alábbi cikk azt ismerteti, hogy az Azure Policy Regulatory Compliance beépített kezdeményezésdefiníciója hogyan képezi le a megfelelőségi tartományokra és -vezérlőkre az NIST SP 800-53 Rev. 4. További információ erről a megfelelőségi szabványról: NIST SP 800-53 Rev. 4. A tulajdonjog megértéséhez tekintse át a szabályzat típusát és a felhő megosztott felelősségét.
A következő leképezések az NIST SP 800-53 Rev. 4 vezérlőihez tartoznak . Számos vezérlő egy Azure Policy-kezdeményezési definícióval van implementálva. A kezdeményezés teljes definíciójának áttekintéséhez nyissa meg a Szabályzatot az Azure Portalon, és válassza a Definíciók lapot. Ezután keresse meg és válassza ki az NIST SP 800-53 Rev. 4 szabályozási megfelelőség beépített kezdeményezési definícióját.
Fontos
Az alábbi vezérlők egy vagy több Azure Policy-definícióhoz lesznek társítva. Ezek a szabályzatok segíthetnek felmérni a vezérlőnek való megfelelőséget , azonban gyakran nem egy az egyhez vagy teljes egyezés van egy vezérlő és egy vagy több szabályzat között. Így az Azure Policy-beli megfelelőség csak magukra a szabályzatdefiníciókra vonatkozik; ez nem biztosítja, hogy teljes mértékben megfeleljen a vezérlők minden követelményének. Emellett a megfelelőségi szabvány olyan vezérlőket is tartalmaz, amelyeket jelenleg egyetlen Azure Policy-definíció sem kezel. Ezért az Azure Policy megfelelősége csak részlegesen tekinti át a teljes megfelelőségi állapotot. A megfelelőségi tartomány, a vezérlők és az Azure Policy-definíciók közötti társítások idővel változhatnak. A változáselőzmények megtekintéséhez tekintse meg a GitHub véglegesítési előzményeit.
Hozzáférés-vezérlés
Hozzáférés-vezérlési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 AC-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hozzáférés-vezérlési szabályzatok és eljárások fejlesztése | CMA_0144 – Hozzáférés-vezérlési szabályzatok és eljárások fejlesztése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| Szabályzatok és eljárások szabályozása | CMA_0292 – Szabályzatok és eljárások szabályozása | Manuális, Letiltva | 1.1.0 |
| Hozzáférés-vezérlési szabályzatok és eljárások áttekintése | CMA_0457 – Hozzáférés-vezérlési szabályzatok és eljárások áttekintése | Manuális, Letiltva | 1.1.0 |
Fiókkezelés
Azonosító: NIST SP 800-53 Rev. 4 AC-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Fiókkezelők hozzárendelése | CMA_0015 – Fiókkezelők hozzárendelése | Manuális, Letiltva | 1.1.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | A tulajdonosi engedélyekkel rendelkező elavult fiókokat el kell távolítani az előfizetésből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási és írási engedélyekkel rendelkező blokkolt fiókjait el kell távolítani | Az elavult fiókokat el kell távolítani az előfizetésekből. Az elavult fiókok olyan fiókok, amelyek nem voltak bejelentkezve. | AuditIfNotExists, Disabled | 1.0.0 |
| Megosztott és csoportfiókok feltételeinek meghatározása és kikényszerítése | CMA_0117 – A megosztott és csoportfiókok feltételeinek meghatározása és kényszerítése | Manuális, Letiltva | 1.1.0 |
| Információsrendszer-fióktípusok definiálása | CMA_0121 – Információsrendszer-fióktípusok definiálása | Manuális, Letiltva | 1.1.0 |
| Dokumentum-hozzáférési jogosultságok | CMA_0186 – Dokumentum-hozzáférési jogosultságok | Manuális, Letiltva | 1.1.0 |
| A szerepkör-tagság feltételeinek megállapítása | CMA_0269 – A szerepkör-tagság feltételeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure-erőforrások tulajdonosi engedélyeivel rendelkező vendégfiókokat el kell távolítani | A nem figyelt hozzáférés megakadályozása érdekében el kell távolítani a tulajdonosi engedélyekkel rendelkező külső fiókokat az előfizetésből. | AuditIfNotExists, Disabled | 1.0.0 |
| El kell távolítani az Azure-erőforrások olvasási engedélyeivel rendelkező vendégfiókokat | Az olvasási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrásokra vonatkozó írási engedélyekkel rendelkező vendégfiókokat el kell távolítani | Az írási jogosultságokkal rendelkező külső fiókokat el kell távolítani az előfizetésből a nem figyelt hozzáférés megakadályozása érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
| Fióktevékenység figyelése | CMA_0377 – Fióktevékenység figyelése | Manuális, Letiltva | 1.1.0 |
| Ügyfél által felügyelt fiókok fiókkezelőinek értesítése | CMA_C1009 – Ügyfél által felügyelt fiókok fiókkezelőinek értesítése | Manuális, Letiltva | 1.1.0 |
| Hitelesítők újbóli kiadása megváltozott csoportokhoz és fiókokhoz | CMA_0426 – A módosított csoportok és fiókok hitelesítőinek újbóli kiadása | Manuális, Letiltva | 1.1.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiókok áttekintése | CMA_0480 – Felhasználói fiókok áttekintése | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Automatizált rendszerfiók-kezelés
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Inaktív fiókok letiltása
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítők letiltása a leállításkor | CMA_0169 – Hitelesítők letiltása a megszüntetéskor | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
Automatizált naplózási műveletek
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Fiókkezelés automatizálása | CMA_0026 – Fiókkezelés automatizálása | Manuális, Letiltva | 1.1.0 |
| Rendszer- és rendszergazdai fiókok kezelése | CMA_0368 – Rendszer- és rendszergazdai fiókok kezelése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Értesítés arról, ha nincs szükség fiókra | CMA_0383 – Értesítés arról, ha nincs szükség fiókra | Manuális, Letiltva | 1.1.0 |
Inaktivitási kijelentkezés
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Inaktivitási naplószabályzat definiálása és kényszerítése | CMA_C1017 – Inaktivitási naplószabályzat definiálása és kényszerítése | Manuális, Letiltva | 1.1.0 |
Szerepköralapú sémák
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Fióktevékenység figyelése | CMA_0377 – Fióktevékenység figyelése | Manuális, Letiltva | 1.1.0 |
| Kiemelt szerepkör-hozzárendelés figyelése | CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| Emelt szintű identitáskezelés használata | CMA_0533 – Emelt szintű identitáskezelés használata | Manuális, Letiltva | 1.1.0 |
A megosztott csoportok/fiókok használatára vonatkozó korlátozások
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Megosztott és csoportfiókok feltételeinek meghatározása és kikényszerítése | CMA_0117 – A megosztott és csoportfiókok feltételeinek meghatározása és kényszerítése | Manuális, Letiltva | 1.1.0 |
Megosztott/ csoportfiók hitelesítő adatainak megszüntetése
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Ügyfél által vezérelt fiók hitelesítő adatainak megszüntetése | CMA_C1022 – Ügyfél által felügyelt fiók hitelesítő adatainak megszüntetése | Manuális, Letiltva | 1.1.0 |
Használati feltételek
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (11) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az összes fiók megfelelő használatának kényszerítése | CMA_C1023 – Az összes fiók megfelelő használatának kényszerítése | Manuális, Letiltva | 1.1.0 |
Fiókfigyelés / Atipikus használat
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Fióktevékenység figyelése | CMA_0377 – Fióktevékenység figyelése | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiókok atipikus viselkedésének jelentése | CMA_C1025 – A felhasználói fiókok atipikus viselkedésének jelentése | Manuális, Letiltva | 1.1.0 |
Magas kockázatú személyek fiókjainak letiltása
Azonosító: NIST SP 800-53 Rev. 4 AC-2 (13) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Jelentős kockázatot jelentő felhasználói fiókok letiltása | CMA_C1026 – Jelentős kockázatot jelentő felhasználói fiókok letiltása | Manuális, Letiltva | 1.1.0 |
Hozzáférés kényszerítése
Azonosító: NIST SP 800-53 Rev. 4 AC-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Jelszó nélküli fiókokkal rendelkező Linux-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a linuxos gépek jelszó nélkül rendelkeznek fiókkal | AuditIfNotExists, Disabled | 3.1.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Logikai hozzáférés kényszerítése | CMA_0245 – Logikai hozzáférés kényszerítése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Jóváhagyás megkövetelése fióklétrehozáshoz | CMA_0431 – Jóváhagyás megkövetelése fióklétrehozáshoz | Manuális, Letiltva | 1.1.0 |
| Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | CMA_0481 – Felhasználói csoportok és alkalmazások áttekintése bizalmas adatokhoz való hozzáféréssel | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókokat át kell telepíteni az új Azure Resource Manager-erőforrásokba | Új Azure Resource Manager használata tárfiókjaihoz olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
| A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni | Az új Azure Resource Manager használata a virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint például: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében | Naplózás, megtagadás, letiltva | 1.0.0 |
Szerepköralapú hozzáférés-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 AC-3 (7) Tulajdonos: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szerepköralapú hozzáférés-vezérlést (RBAC) kell használni a Kubernetes Servicesben | A felhasználók által végrehajtható műveletek részletes szűréséhez használja a szerepköralapú hozzáférés-vezérlést (RBAC) a Kubernetes-szolgáltatásfürtök engedélyeinek kezeléséhez és a vonatkozó engedélyezési szabályzatok konfigurálásához. | Naplózás, letiltva | 1.0.4 |
Adatfolyam-kényszerítés
Azonosító: NIST SP 800-53 Rev. 4 AC-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.1-elavult |
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.1-elavult |
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | CMA_0211 – A titkosított információk folyamatvezérlési mechanizmusainak alkalmazása | Manuális, Letiltva | 1.1.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
Dinamikus információáramlás-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 AC-4 (3) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
Biztonsági házirend-szűrők
Azonosító: NIST SP 800-53 Rev. 4 AC-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás-vezérlés biztonsági szabályzatszűrők használatával | CMA_C1029 – Információáramlás-vezérlés biztonsági szabályzatszűrők használatával | Manuális, Letiltva | 1.1.0 |
Az információs folyamatok fizikai/logikai elkülönítése
Azonosító: NIST SP 800-53 Rev. 4 AC-4 (21) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információáramlás szabályozása | CMA_0079 – Az információáramlás szabályozása | Manuális, Letiltva | 1.1.0 |
| Tűzfal- és útválasztókonfigurációs szabványok létrehozása | CMA_0272 – Tűzfal- és útválasztókonfigurációs szabványok létrehozása | Manuális, Letiltva | 1.1.0 |
| Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | CMA_0273 – Hálózati szegmentálás létrehozása a kártyatulajdonos adatkörnyezetéhez | Manuális, Letiltva | 1.1.0 |
| Alsóbb rétegbeli információcsere azonosítása és kezelése | CMA_0298 – Alsóbb rétegbeli információcsere azonosítása és kezelése | Manuális, Letiltva | 1.1.0 |
A feladatok elkülönítése
Azonosító: NIST SP 800-53 Rev. 4 AC-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatásához | CMA_0116 – Hozzáférési engedélyek meghatározása a vámok elkülönítésének támogatására | Manuális, Letiltva | 1.1.0 |
| A feladatok elkülönítésének dokumentálása | CMA_0204 – A feladatok elkülönítésének dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az egyének feladatainak elkülönítése | CMA_0492 – A magánszemélyek feladatainak elkülönítése | Manuális, Letiltva | 1.1.0 |
| Az előfizetéshez egynél több tulajdonosnak kell tartoznia | Javasoljuk, hogy több előfizetés-tulajdonost jelöljön ki, hogy rendszergazdai hozzáféréssel rendelkezzen. | AuditIfNotExists, Disabled | 3.0.0 |
Minimális jogosultság
Azonosító: NIST SP 800-53 Rev. 4 AC-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Hozzáférés-vezérlési modell tervezése | CMA_0129 – Hozzáférés-vezérlési modell tervezése | Manuális, Letiltva | 1.1.0 |
| Minimális jogosultsági hozzáférés alkalmazása | CMA_0212 – A legkevésbé jogosultsági hozzáférés alkalmazása | Manuális, Letiltva | 1.1.0 |
Biztonsági függvényekhez való hozzáférés engedélyezése
Azonosító: NIST SP 800-53 Rev. 4 AC-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | CMA_0022 – Biztonsági funkciókhoz és információkhoz való hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférés engedélyezése és kezelése | CMA_0023 – Hozzáférés engedélyezése és kezelése | Manuális, Letiltva | 1.1.0 |
| Kötelező és belátás szerinti hozzáférés-vezérlési szabályzatok kikényszerítése | CMA_0246 – Kötelező és diszkrecionális hozzáférés-vezérlési szabályzatok kikényszerítése | Manuális, Letiltva | 1.1.0 |
Kiemelt fiókok
Azonosító: NIST SP 800-53 Rev. 4 AC-6 (5) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
Felhasználói jogosultságok áttekintése
Azonosító: NIST SP 800-53 Rev. 4 AC-6 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az előfizetéshez legfeljebb 3 tulajdonost kell kijelölni | Javasoljuk, hogy legfeljebb 3 előfizetés-tulajdonost jelöljön ki annak érdekében, hogy csökkentse a feltört tulajdonos megsértésének lehetőségét. | AuditIfNotExists, Disabled | 3.0.0 |
| Egyéni RBAC-szerepkörök használatának naplózása | Az egyéni RBAC-szerepkörök helyett az olyan beépített szerepkörök naplózása, mint a "Tulajdonos, Közreműködő, Olvasó", amelyek hibalehetőséget jelentenek. Az egyéni szerepkörök használata kivételnek minősül, és szigorú felülvizsgálatot és fenyegetésmodellezést igényel | Naplózás, letiltva | 1.0.1 |
| Felhasználói jogosultságok újbóli hozzárendelése vagy eltávolítása szükség szerint | CMA_C1040 – Felhasználói jogosultságok szükség szerinti hozzárendelése vagy eltávolítása | Manuális, Letiltva | 1.1.0 |
| Felhasználói jogosultságok áttekintése | CMA_C1039 – Felhasználói jogosultságok áttekintése | Manuális, Letiltva | 1.1.0 |
Jogosultsági szintek a kódvégrehajtáshoz
Azonosító: NIST SP 800-53 Rev. 4 AC-6 (8) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szoftvervégrehajtási jogosultságok kényszerítése | CMA_C1041 – Szoftvervégrehajtási jogosultságok kényszerítése | Manuális, Letiltva | 1.1.0 |
Kiemelt függvények használatának naplózása
Azonosító: NIST SP 800-53 Rev. 4 AC-6 (9) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózott emelt szintű parancsok teljes szöveges elemzése | CMA_0056 – Naplózott kiemelt parancsok teljes szöveges elemzése | Manuális, Letiltva | 1.1.0 |
| Kiemelt szerepkör-hozzárendelés figyelése | CMA_0378 – Kiemelt szerepkör-hozzárendelés figyelése | Manuális, Letiltva | 1.1.0 |
| Jogosultsággal rendelkező fiókokhoz való hozzáférés korlátozása | CMA_0446 – A kiemelt fiókokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| A kiemelt szerepkörök visszavonása a megfelelő módon | CMA_0483 – A kiemelt szerepkörök megfelelő visszavonása | Manuális, Letiltva | 1.1.0 |
| Emelt szintű identitáskezelés használata | CMA_0533 – Emelt szintű identitáskezelés használata | Manuális, Letiltva | 1.1.0 |
Sikertelen bejelentkezési kísérletek
Azonosító: NIST SP 800-53 Rev. 4 AC-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése | CMA_C1044 – Az egymást követő sikertelen bejelentkezési kísérletek korlátjának kényszerítése | Manuális, Letiltva | 1.1.0 |
Egyidejű munkamenet-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 AC-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az egyidejű munkamenetek korlátjának meghatározása és kényszerítése | CMA_C1050 – Az egyidejű munkamenetek korlátjának meghatározása és kényszerítése | Manuális, Letiltva | 1.1.0 |
Munkamenet leállítása
Azonosító: NIST SP 800-53 Rev. 4 AC-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felhasználói munkamenet automatikus megszakítása | CMA_C1054 – A felhasználói munkamenet automatikus megszakítása | Manuális, Letiltva | 1.1.0 |
Felhasználó által kezdeményezett kijelentkezések / üzenetkijelenések
Azonosító: NIST SP 800-53 Rev. 4 AC-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Explicit kijelentkezés üzenetének megjelenítése | CMA_C1056 – Explicit kijelentkezés üzenet megjelenítése | Manuális, Letiltva | 1.1.0 |
| Adja meg a bejelentkezési képességet | CMA_C1055 – Adja meg a kijelentkezés képességét | Manuális, Letiltva | 1.1.0 |
Azonosítás vagy hitelesítés nélküli engedélyezett műveletek
Azonosító: NIST SP 800-53 Rev. 4 AC-14 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítés nélkül engedélyezett műveletek azonosítása | CMA_0295 – Hitelesítés nélkül engedélyezett műveletek azonosítása | Manuális, Letiltva | 1.1.0 |
Biztonsági attribútumok
Azonosító: NIST SP 800-53 Rev. 4 AC-16 Tulajdonos: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
Távelérés
Azonosító: NIST SP 800-53 Rev. 4 AC-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.1-elavult |
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.1-elavult |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, Letiltás, Megtagadás | 1.2.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Dokumentum-mobilitási képzés | CMA_0191 – Dokumentum-mobilitási képzés | Manuális, Letiltva | 1.1.0 |
| Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
Automatizált figyelés / vezérlés
Azonosító: NIST SP 800-53 Rev. 4 AC-17 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.1-elavult |
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.1-elavult |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Linux rendszerű gépek naplózása, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha olyan Linux rendszerű gépek, amelyek jelszó nélkül engedélyezik a távoli kapcsolatokat a fiókokból | AuditIfNotExists, Disabled | 3.1.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Spring Cloudnak hálózati injektálást kell használnia | Az Azure Spring Cloud-példányoknak virtuális hálózati injektálást kell használniuk a következő célokra: 1. Az Azure Spring Cloud elkülönítése az internetről. 2. Engedélyezze az Azure Spring Cloud számára, hogy a helyszíni adatközpontokban vagy az Azure szolgáltatásban lévő rendszerekkel kommunikáljon más virtuális hálózatokon. 3. Lehetővé teszi az ügyfelek számára az Azure Spring Cloud bejövő és kimenő hálózati kommunikációjának szabályozását. | Naplózás, Letiltás, Megtagadás | 1.2.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Hozzáférés figyelése a szervezeten belül | CMA_0376 – Hozzáférés figyelése a szervezeten belül | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
A bizalmasság/ integritás védelme titkosítással
Azonosító: NIST SP 800-53 Rev. 4 AC-17 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felhasználók értesítése a rendszerbe való bejelentkezésről vagy hozzáférésről | CMA_0382 – A felhasználók értesítése a rendszerbe való bejelentkezésről vagy a hozzáférésről | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Felügyelt hozzáférés-vezérlési pontok
Azonosító: NIST SP 800-53 Rev. 4 AC-17 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül | CMA_0484 – Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül | Manuális, Letiltva | 1.1.0 |
Emelt szintű parancsok / Hozzáférés
Azonosító: NIST SP 800-53 Rev. 4 AC-17 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| A kiemelt parancsokhoz való távoli hozzáférés engedélyezése | CMA_C1064 – A kiemelt parancsokhoz való távoli hozzáférés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Dokumentum távelérési irányelvei | CMA_0196 – Dokumentum távelérési irányelvei | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi képzés biztosítása | CMA_0415 – Adatvédelmi képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Kapcsolat bontása /Hozzáférés letiltása
Azonosító: NIST SP 800-53 Rev. 4 AC-17 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Lehetőség biztosítása a távelérés leválasztására vagy letiltására | CMA_C1066 – Lehetővé teszi a távelérés leválasztását vagy letiltását | Manuális, Letiltva | 1.1.0 |
Vezeték nélküli hozzáférés
Azonosító: NIST SP 800-53 Rev. 4 AC-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása | CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása | Manuális, Letiltva | 1.1.0 |
| Vezeték nélküli hozzáférés védelme | CMA_0411 – Vezeték nélküli hozzáférés védelme | Manuális, Letiltva | 1.1.0 |
Hitelesítés és titkosítás
Azonosító: NIST SP 800-53 Rev. 4 AC-18 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása | CMA_0190 – A vezeték nélküli hozzáférési irányelvek dokumentálása és implementálása | Manuális, Letiltva | 1.1.0 |
| Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
| Vezeték nélküli hozzáférés védelme | CMA_0411 – Vezeték nélküli hozzáférés védelme | Manuális, Letiltva | 1.1.0 |
Hozzáférés-vezérlés mobileszközökhöz
Azonosító: NIST SP 800-53 Rev. 4 AC-19 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Mobileszköz-követelmények meghatározása | CMA_0122 – Mobileszköz-követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Teljes eszköz/tárolóalapú titkosítás
Azonosító: NIST SP 800-53 Rev. 4 AC-19 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Mobileszköz-követelmények meghatározása | CMA_0122 – Mobileszköz-követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Külső információs rendszerek használata
Azonosító: NIST SP 800-53 Rev. 4 AC-20 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az erőforrások elérésére vonatkozó feltételek és feltételek létrehozása | CMA_C1076 – Az erőforrásokhoz való hozzáférés feltételeinek és feltételeinek meghatározása | Manuális, Letiltva | 1.1.0 |
| Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása | CMA_C1077 – Az erőforrások feldolgozására vonatkozó feltételek és feltételek meghatározása | Manuális, Letiltva | 1.1.0 |
Engedélyezett használat korlátozásai
Azonosító: NIST SP 800-53 Rev. 4 AC-20 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Külső információs rendszerek biztonsági vezérlőinek ellenőrzése | CMA_0541 – Külső információs rendszerek biztonsági vezérlőinek ellenőrzése | Manuális, Letiltva | 1.1.0 |
Hordozható tárolóeszközök
Azonosító: NIST SP 800-53 Rev. 4 AC-20 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Hordozható tárolóeszközök használatának szabályozása | CMA_0083 – Hordozható tárolóeszközök használatának szabályozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Információmegosztás
Azonosító: NIST SP 800-53 Rev. 4 AC-21 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információmegosztási döntések automatizálása | CMA_0028 – Információmegosztási döntések automatizálása | Manuális, Letiltva | 1.1.0 |
| Információmegosztás megkönnyítése | CMA_0284 – Az információmegosztás megkönnyítése | Manuális, Letiltva | 1.1.0 |
Nyilvánosan elérhető tartalom
Azonosító: NIST SP 800-53 Rev. 4 AC-22 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése | CMA_C1083 – A nyilvánosan hozzáférhető információk közzétételére jogosult személyzet kijelölése | Manuális, Letiltva | 1.1.0 |
| Tartalom áttekintése nyilvánosan elérhető információk közzététele előtt | CMA_C1085 – Tartalom áttekintése a nyilvánosan elérhető információk közzététele előtt | Manuális, Letiltva | 1.1.0 |
| Nyilvánosan elérhető tartalom áttekintése nem nyilvános információkért | CMA_C1086 – Nyilvánosan elérhető tartalmak áttekintése nem nyilvános információkért | Manuális, Letiltva | 1.1.0 |
| Betanítsa a személyzetet a nem nyilvános információk közzétételére | CMA_C1084 – Személyzet betanítása a nem nyilvános információk közzétételére | Manuális, Letiltva | 1.1.0 |
Tudatosság és képzés
Biztonságtudatossági és képzési szabályzat és a szükséges lépések
Azonosító: NIST SP 800-53 Rev. 4 AT-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági és adatvédelmi képzési tevékenységek dokumentálása | CMA_0198 – Dokumentumbiztonsági és adatvédelmi betanítási tevékenységek | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági szabályzatok frissítése | CMA_0518 – Információbiztonsági szabályzatok frissítése | Manuális, Letiltva | 1.1.0 |
Biztonságtudatossági képzés
Azonosító: NIST SP 800-53 Rev. 4 AT-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszeres biztonsági tudatossági képzés biztosítása | CMA_C1091 – Rendszeres biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása új felhasználók számára | CMA_0419 – Biztonsági képzés biztosítása új felhasználók számára | Manuális, Letiltva | 1.1.0 |
| Frissített biztonsági tudatossági képzés biztosítása | CMA_C1090 – Frissített biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Insider Threat
Azonosító: NIST SP 800-53 Rev. 4 AT-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonságtudatossági képzés az insider fenyegetésekhez | CMA_0417 – A belső fenyegetésekre vonatkozó biztonsági tudatossági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Szerepköralapú biztonsági képzés
Azonosító: NIST SP 800-53 Rev. 4 AT-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszeres szerepköralapú biztonsági képzés biztosítása | CMA_C1095 – Rendszeres szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Szerepköralapú biztonsági képzés biztosítása | CMA_C1094 – Szerepköralapú biztonsági képzés biztosítása | Manuális, Letiltva | 1.1.0 |
| Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | CMA_0418 – Biztonsági képzés biztosítása a hozzáférés biztosítása előtt | Manuális, Letiltva | 1.1.0 |
Gyakorlati gyakorlatok
Azonosító: NIST SP 800-53 Rev. 4 AT-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szerepköralapú gyakorlati gyakorlatok biztosítása | CMA_C1096 – Szerepköralapú gyakorlati gyakorlatok biztosítása | Manuális, Letiltva | 1.1.0 |
Gyanús kommunikáció és rendellenes rendszerviselkedés
Azonosító: NIST SP 800-53 Rev. 4 AT-3 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szerepköralapú képzés biztosítása gyanús tevékenységekről | CMA_C1097 – Szerepköralapú képzés biztosítása gyanús tevékenységekről | Manuális, Letiltva | 1.1.0 |
Biztonsági betanítási rekordok
Azonosító: NIST SP 800-53 Rev. 4 AT-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági és adatvédelmi képzési tevékenységek dokumentálása | CMA_0198 – Dokumentumbiztonsági és adatvédelmi betanítási tevékenységek | Manuális, Letiltva | 1.1.0 |
| Biztonsági és adatvédelmi képzés befejezésének monitorozása | CMA_0379 – A biztonsági és adatvédelmi képzés befejezésének monitorozása | Manuális, Letiltva | 1.1.0 |
| Betanítási rekordok megőrzése | CMA_0456 – Betanítási rekordok megőrzése | Manuális, Letiltva | 1.1.0 |
Naplózás és elszámoltathatóság
Naplózási és elszámoltathatósági szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 AU-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási és elszámoltathatósági szabályzatok és eljárások kidolgozása | CMA_0154 – Naplózási és elszámoltathatósági szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági szabályzatok és eljárások fejlesztése | CMA_0158 – Információbiztonsági szabályzatok és eljárások fejlesztése | Manuális, Letiltva | 1.1.0 |
| Szabályzatok és eljárások szabályozása | CMA_0292 – Szabályzatok és eljárások szabályozása | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági szabályzatok frissítése | CMA_0518 – Információbiztonsági szabályzatok frissítése | Manuális, Letiltva | 1.1.0 |
Naplózási események
Azonosító: NIST SP 800-53 Rev. 4 AU-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
Vélemények és frissítések
Azonosító: NIST SP 800-53 Rev. 4 AU-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az AU-02-ben definiált események áttekintése és frissítése | CMA_C1106 – Az AU-02-ben definiált események áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
A naplózási rekordok tartalma
Azonosító: NIST SP 800-53 Rev. 4 AU-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
További naplózási információk
Azonosító: NIST SP 800-53 Rev. 4 AU-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Audit képességeinek konfigurálása | CMA_C1108 – Az Azure Audit képességeinek konfigurálása | Manuális, Letiltva | 1.1.1 |
Tárkapacitás naplózása
Azonosító: NIST SP 800-53 Rev. 4 AU-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
Válasz a naplózás feldolgozási hibáira
Azonosító: NIST SP 800-53 Rev. 4 AU-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási feldolgozási tevékenységek szabályozása és monitorozása | CMA_0289 – Auditfeldolgozási tevékenységek szabályozása és monitorozása | Manuális, Letiltva | 1.1.0 |
Valós idejű riasztások
Azonosító: NIST SP 800-53 Rev. 4 AU-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Valós idejű riasztások biztosítása naplózási eseményhibák esetén | CMA_C1114 – Valós idejű riasztások biztosítása naplózási eseményhibák esetén | Manuális, Letiltva | 1.1.0 |
Naplózási felülvizsgálat, elemzés és jelentéskészítés
Azonosító: NIST SP 800-53 Rev. 4 AU-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Naplózási rekordok korrelációja | CMA_0087 – Naplórekordok korrelálása | Manuális, Letiltva | 1.1.0 |
| Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Auditvizsgálat, elemzés és jelentéskészítés integrálása | CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása | Manuális, Letiltva | 1.1.0 |
| A felhőalkalmazások biztonságának integrálása siem használatával | CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Rendszergazdai hozzárendelések heti áttekintése | CMA_0461 – Rendszergazdai feladatok heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
| A felhő identitásjelentésének áttekintése | CMA_0468 – A felhőalapú identitásjelentés áttekintése | Manuális, Letiltva | 1.1.0 |
| Ellenőrzött mappaelérési események áttekintése | CMA_0471 – Ellenőrzött mappaelérési események áttekintése | Manuális, Letiltva | 1.1.0 |
| Fájl- és mappatevékenység áttekintése | CMA_0473 – Fájl- és mappatevékenység áttekintése | Manuális, Letiltva | 1.1.0 |
| Szerepkörcsoportok változásainak heti áttekintése | CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése | Manuális, Letiltva | 1.1.0 |
Folyamatintegráció
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási rekordok korrelációja | CMA_0087 – Naplórekordok korrelálása | Manuális, Letiltva | 1.1.0 |
| Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Auditvizsgálat, elemzés és jelentéskészítés integrálása | CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása | Manuális, Letiltva | 1.1.0 |
| A felhőalkalmazások biztonságának integrálása siem használatával | CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Rendszergazdai hozzárendelések heti áttekintése | CMA_0461 – Rendszergazdai feladatok heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
| A felhő identitásjelentésének áttekintése | CMA_0468 – A felhőalapú identitásjelentés áttekintése | Manuális, Letiltva | 1.1.0 |
| Ellenőrzött mappaelérési események áttekintése | CMA_0471 – Ellenőrzött mappaelérési események áttekintése | Manuális, Letiltva | 1.1.0 |
| Fájl- és mappatevékenység áttekintése | CMA_0473 – Fájl- és mappatevékenység áttekintése | Manuális, Letiltva | 1.1.0 |
| Szerepkörcsoportok változásainak heti áttekintése | CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése | Manuális, Letiltva | 1.1.0 |
Naplózási adattárak korrelációja
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási rekordok korrelációja | CMA_0087 – Naplórekordok korrelálása | Manuális, Letiltva | 1.1.0 |
| A felhőalkalmazások biztonságának integrálása siem használatával | CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával | Manuális, Letiltva | 1.1.0 |
Központi felülvizsgálat és elemzés
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Integrációs/ellenőrzési és monitorozási képességek
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Naplózási rekordelemzés integrálása | CMA_C1120 – Naplózási rekordelemzés integrálása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Engedélyezett műveletek
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az ügyfél auditálási adataihoz társított engedélyezett műveletek megadása | CMA_C1122 – Az ügyfél auditálási adataihoz társított engedélyezett műveletek megadása | Manuális, Letiltva | 1.1.0 |
Naplózási szint módosítása
Azonosító: NIST SP 800-53 Rev. 4 AU-6 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az auditvizsgálati, elemzési és jelentéskészítési szint módosítása | CMA_C1123 – Az auditvizsgálat, az elemzés és a jelentéskészítés szintjének módosítása | Manuális, Letiltva | 1.1.0 |
Naplózás csökkentése és jelentéskészítés
Azonosító: NIST SP 800-53 Rev. 4 AU-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy a naplózási rekordok nincsenek módosítva | CMA_C1125 – Győződjön meg arról, hogy a naplózási rekordok nincsenek módosítva | Manuális, Letiltva | 1.1.0 |
| Naplózási, elemzési és jelentéskészítési képesség biztosítása | CMA_C1124 – Naplózási, elemzési és jelentéskészítési képesség biztosítása | Manuális, Letiltva | 1.1.0 |
Automatikus feldolgozás
Azonosító: NIST SP 800-53 Rev. 4 AU-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Képesség biztosítása az ügyfél által ellenőrzött naplózási rekordok feldolgozására | CMA_C1126 – Lehetővé teszi az ügyfél által ellenőrzött naplózási rekordok feldolgozását | Manuális, Letiltva | 1.1.0 |
Időbélyegek
Azonosító: NIST SP 800-53 Rev. 4 AU-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerórák használata naplózási rekordokhoz | CMA_0535 – Rendszerórák használata naplózási rekordokhoz | Manuális, Letiltva | 1.1.0 |
Szinkronizálás mérvadó időforrással
Azonosító: NIST SP 800-53 Rev. 4 AU-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerórák használata naplózási rekordokhoz | CMA_0535 – Rendszerórák használata naplózási rekordokhoz | Manuális, Letiltva | 1.1.0 |
Naplózási információk védelme
Azonosító: NIST SP 800-53 Rev. 4 AU-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kettős vagy közös engedélyezés engedélyezése | CMA_0226 – Kettős vagy közös engedélyezés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Naplózási információk védelme | CMA_0401 – Naplózási információk védelme | Manuális, Letiltva | 1.1.0 |
Biztonsági mentés naplózása különálló fizikai rendszereken / összetevőkön
Azonosító: NIST SP 800-53 Rev. 4 AU-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági mentési szabályzatok és eljárások létrehozása | CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása | Manuális, Letiltva | 1.1.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 4 AU-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A naplózási rendszer integritásának fenntartása | CMA_C1133 – A naplózási rendszer integritásának fenntartása | Manuális, Letiltva | 1.1.0 |
Hozzáférés a kiemelt felhasználók részhalmaza szerint
Azonosító: NIST SP 800-53 Rev. 4 AU-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Naplózási információk védelme | CMA_0401 – Naplózási információk védelme | Manuális, Letiltva | 1.1.0 |
Letagadhatatlanság
Azonosító: NIST SP 800-53 Rev. 4 AU-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elektronikus aláírási és tanúsítványkövetelmények létrehozása | CMA_0271 – Elektronikus aláírásra és tanúsítványra vonatkozó követelmények megállapítása | Manuális, Letiltva | 1.1.0 |
Rekordmegőrzés naplózása
Azonosító: NIST SP 800-53 Rev. 4 AU-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A megadott megőrzési időszakok betartása | CMA_0004 – A megadott megőrzési időszakok betartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szabályzatok és eljárások megőrzése | CMA_0454 – Biztonsági szabályzatok és eljárások megőrzése | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
| A tárfiók célhelyére történő naplózást végző SQL-kiszolgálókat 90 napos vagy annál magasabb megőrzési idővel kell konfigurálni | Incidensvizsgálati célokból javasoljuk, hogy az SQL Server naplózásának adatmegőrzését állítsa a tárfiók célhelyére legalább 90 napra. Győződjön meg arról, hogy megfelel a szükséges adatmegőrzési szabályoknak azokra a régiókra vonatkozóan, ahol éppen működik. Ez néha a jogszabályi előírásoknak való megfeleléshez szükséges. | AuditIfNotExists, Disabled | 3.0.0 |
Naplózás létrehozása
Azonosító: NIST SP 800-53 Rev. 4 AU-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
System-Wide / Time-Korrelated Audit Trail
Azonosító: NIST SP 800-53 Rev. 4 AU-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
| Engedélyezni kell a naplózást az SQL Serveren | Az SQL Serveren végzett naplózásnak engedélyeznie kell az adatbázis-tevékenységek nyomon követését a kiszolgáló összes adatbázisában, és menteni őket egy naplóba. | AuditIfNotExists, Disabled | 2.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Naplózási rekordok fordítása rendszerszintű naplózásra | CMA_C1140 – Auditrekordok fordítása rendszerszintű naplózásra | Manuális, Letiltva | 1.1.0 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Data Lake Store-beli erőforrásnaplókat | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az Azure Stream Analytics erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Batch-fiókokban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Data Lake Analyticsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az Event Hubban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat az IoT Hubon | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 3.1.0 |
| Engedélyezni kell az erőforrásnaplókat a Key Vaultban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy a vizsgálati célokra használható tevékenységútvonalakat újra létrehozva biztonsági incidens esetén vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Logic Appsben | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.1.0 |
| Engedélyezni kell a Search szolgáltatás erőforrásnaplóit | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| Engedélyezni kell az erőforrásnaplókat a Service Busban | Erőforrásnaplók naplózása. Ez lehetővé teszi, hogy újra létrehozhassa a vizsgálati célokra használható tevékenységútvonalakat; biztonsági incidens bekövetkezésekor vagy a hálózat sérülése esetén | AuditIfNotExists, Disabled | 5.0.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
A jogosult személyek által végzett módosítások
Azonosító: NIST SP 800-53 Rev. 4 AU-12 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Lehetővé teszi az ügyfél által üzembe helyezett erőforrások naplózásának kiterjesztését vagy korlátozását | CMA_C1141 – Lehetővé teszi az ügyfél által üzembe helyezett erőforrások naplózásának kiterjesztését vagy korlátozását | Manuális, Letiltva | 1.1.0 |
Biztonsági értékelés és engedélyezés
Biztonsági értékelési és engedélyezési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 CA-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági értékelési és engedélyezési szabályzatok és eljárások áttekintése | CMA_C1143 – Biztonsági értékelési és engedélyezési szabályzatok és eljárások áttekintése | Manuális, Letiltva | 1.1.0 |
Biztonsági értékelések
Azonosító: NIST SP 800-53 Rev. 4 CA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági vezérlők értékelése | CMA_C1145 – Biztonsági vezérlők értékelése | Manuális, Letiltva | 1.1.0 |
| Biztonsági értékelés eredményeinek átadása | CMA_C1147 – Biztonsági értékelés eredményeinek átadása | Manuális, Letiltva | 1.1.0 |
| Biztonsági felmérési terv kidolgozása | CMA_C1144 – Biztonsági értékelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági felmérési jelentés készítése | CMA_C1146 – Biztonsági felmérési jelentés készítése | Manuális, Letiltva | 1.1.0 |
Független értékelők
Azonosító: NIST SP 800-53 Rev. 4 CA-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Független értékelők alkalmazása biztonsági ellenőrzési értékelések elvégzéséhez | CMA_C1148 – Független értékelők alkalmazása a biztonsági ellenőrzési értékelések elvégzéséhez | Manuális, Letiltva | 1.1.0 |
Specializált értékelések
Azonosító: NIST SP 800-53 Rev. 4 CA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| További tesztelés kiválasztása a biztonsági ellenőrzési értékelésekhez | CMA_C1149 – További tesztelés kiválasztása a biztonsági ellenőrzés értékeléséhez | Manuális, Letiltva | 1.1.0 |
Külső szervezetek
Azonosító: NIST SP 800-53 Rev. 4 CA-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Értékelési eredmények elfogadása | CMA_C1150 – Értékelési eredmények elfogadása | Manuális, Letiltva | 1.1.0 |
Rendszerösszekötők
Azonosító: NIST SP 800-53 Rev. 4 CA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Összekapcsolási biztonsági megállapodások megkövetelése | CMA_C1151 – Összekapcsolási biztonsági megállapodások megkövetelése | Manuális, Letiltva | 1.1.0 |
| Összekapcsolási biztonsági megállapodások frissítése | CMA_0519 – Összekapcsolási biztonsági megállapodások frissítése | Manuális, Letiltva | 1.1.0 |
Nem besorolt nem nemzetbiztonsági rendszerkapcsolatok
Azonosító: NIST SP 800-53 Rev. 4 CA-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
Külső rendszerkapcsolatokra vonatkozó korlátozások
Azonosító: NIST SP 800-53 Rev. 4 CA-3 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Korlátozások alkalmazása a külső rendszerösszekötőkre | CMA_C1155 – Korlátozások alkalmazása a külső rendszerösszekötőkre | Manuális, Letiltva | 1.1.0 |
Cselekvési terv és mérföldkövek
Azonosító: NIST SP 800-53 Rev. 4 CA-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| POA&M fejlesztése | CMA_C1156 – POA&M fejlesztése | Manuális, Letiltva | 1.1.0 |
| POA&M-elemek frissítése | CMA_C1157 – POA&M-elemek frissítése | Manuális, Letiltva | 1.1.0 |
Biztonsági engedélyezés
Azonosító: NIST SP 800-53 Rev. 4 CA-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezésre feljogosító tisztviselő hozzárendelése (AO) | CMA_C1158 – Engedélyezésre feljogosító tisztviselő (AO) hozzárendelése | Manuális, Letiltva | 1.1.0 |
| Győződjön meg arról, hogy az erőforrások engedélyezve vannak | CMA_C1159 – Győződjön meg arról, hogy az erőforrások engedélyezve vannak | Manuális, Letiltva | 1.1.0 |
| A biztonsági engedélyezés frissítése | CMA_C1160 – A biztonsági engedélyezés frissítése | Manuális, Letiltva | 1.1.0 |
Folyamatos monitorozás
Azonosító: NIST SP 800-53 Rev. 4 CA-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Észlelési engedélyezési lista konfigurálása | CMA_0068 – Észlelési engedélyezési lista konfigurálása | Manuális, Letiltva | 1.1.0 |
| Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
| Független biztonsági felülvizsgálaton megy keresztül | CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül | Manuális, Letiltva | 1.1.0 |
Független értékelés
Azonosító: NIST SP 800-53 Rev. 4 CA-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Független értékelők alkalmazása folyamatos monitorozáshoz | CMA_C1168 – Független értékelők alkalmazása folyamatos monitorozáshoz | Manuális, Letiltva | 1.1.0 |
Trendelemzések
Azonosító: NIST SP 800-53 Rev. 4 CA-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Folyamatos monitorozásból nyert adatok elemzése | CMA_C1169 – Folyamatos monitorozásból nyert adatok elemzése | Manuális, Letiltva | 1.1.0 |
Független behatolási ügynök vagy csapat
Azonosító: NIST SP 800-53 Rev. 4 CA-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Független csapat alkalmazása behatolásteszteléshez | CMA_C1171 – Független csapat alkalmazása behatolásteszteléshez | Manuális, Letiltva | 1.1.0 |
Belső rendszerkapcsolatok
Azonosító: NIST SP 800-53 Rev. 4 CA-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Belső kapcsolatok létrehozása előtt ellenőrizze az adatvédelmi és biztonsági megfelelőséget | CMA_0053 – Belső kapcsolatok létrehozása előtt ellenőrizze az adatvédelmi és biztonsági megfelelőséget | Manuális, Letiltva | 1.1.0 |
Konfigurációkezelés
Konfigurációkezelési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 CM-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Konfigurációkezelési szabályzatok és eljárások áttekintése és frissítése | CMA_C1175 – Konfigurációkezelési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Alapkonfiguráció
Azonosító: NIST SP 800-53 Rev. 4 CM-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
| Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
Automatizálási támogatás pontossághoz / pénznemhez
Azonosító: NIST SP 800-53 Rev. 4 CM-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem megfelelő eszközök műveleteinek konfigurálása | CMA_0062 – Műveletek konfigurálása nem megfelelő eszközökhöz | Manuális, Letiltva | 1.1.0 |
| Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| Konfigurációs vezérlőtábla létrehozása | CMA_0254 – Konfigurációs vezérlőtábla létrehozása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
Korábbi konfigurációk megőrzése
Azonosító: NIST SP 800-53 Rev. 4 CM-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alapkonfigurációk korábbi verzióinak megőrzése | CMA_C1181 – Az alapkonfigurációk korábbi verzióinak megőrzése | Manuális, Letiltva | 1.1.0 |
Rendszerek, összetevők vagy eszközök konfigurálása magas kockázatú területekhez
Azonosító: NIST SP 800-53 Rev. 4 CM-2 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Gondoskodjon arról, hogy az egyének visszatérésekor ne legyen szükség biztonsági garanciákra | CMA_C1183 – Gondoskodjon arról, hogy az egyének visszatérésekor ne legyen szükség biztonsági garanciákra | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek nem kísérhetik az egyéneket | CMA_C1182 – Az információs rendszerek nem kísérhetik az egyéneket | Manuális, Letiltva | 1.1.0 |
Konfigurációmódosítás-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 CM-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági hatáselemzés végrehajtása | CMA_0057 – Biztonsági hatáselemzés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Biztonságirés-kezelés szabvány fejlesztése és karbantartása | CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi hatásvizsgálat elvégzése | CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
Automatizált dokumentum / Értesítés / Módosítások tiltása
Azonosító: NIST SP 800-53 Rev. 4 CM-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A javasolt módosítások jóváhagyási kérésének automatizálása | CMA_C1192 – A javasolt módosítások jóváhagyási kérésének automatizálása | Manuális, Letiltva | 1.1.0 |
| Jóváhagyott változásértesítések végrehajtásának automatizálása | CMA_C1196 – A jóváhagyott változásértesítések végrehajtásának automatizálása | Manuális, Letiltva | 1.1.0 |
| Folyamat automatizálása a végrehajtott módosítások dokumentálásához | CMA_C1195 – Folyamat automatizálása a végrehajtott módosítások dokumentálásához | Manuális, Letiltva | 1.1.0 |
| A nem megtekintett módosítási javaslatok kiemelésének automatizálása | CMA_C1193 – A nem megtekintett módosítási javaslatok kiemelésére irányuló folyamat automatizálása | Manuális, Letiltva | 1.1.0 |
| A nem jóváhagyott módosítások implementálásának tiltását célzó folyamat automatizálása | CMA_C1194 – Automatizálja a nem jóváhagyott módosítások végrehajtását tiltó folyamatot | Manuális, Letiltva | 1.1.0 |
| Javasolt dokumentált módosítások automatizálása | CMA_C1191 – Javasolt dokumentált módosítások automatizálása | Manuális, Letiltva | 1.1.0 |
Tesztelés/Ellenőrzés/Dokumentummódosítások
Azonosító: NIST SP 800-53 Rev. 4 CM-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
| Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
Biztonsági képviselő
Azonosító: NIST SP 800-53 Rev. 4 CM-3 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági képviselő hozzárendelése a változásvezérléshez | CMA_C1198 – Információbiztonsági képviselő hozzárendelése a változásvezérléshez | Manuális, Letiltva | 1.1.0 |
Titkosítás kezelése
Azonosító: NIST SP 800-53 Rev. 4 CM-3 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy a titkosítási mechanizmusok konfigurációkezelés alatt állnak | CMA_C1199 – Győződjön meg arról, hogy a titkosítási mechanizmusok konfigurációkezelés alatt állnak | Manuális, Letiltva | 1.1.0 |
Biztonsági hatáselemzés
Azonosító: NIST SP 800-53 Rev. 4 CM-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági hatáselemzés végrehajtása | CMA_0057 – Biztonsági hatáselemzés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Biztonságirés-kezelés szabvány fejlesztése és karbantartása | CMA_0152 – Biztonságirés-kezelés szabvány fejlesztése és fenntartása | Manuális, Letiltva | 1.1.0 |
| Kockázatkezelési stratégia létrehozása | CMA_0258 – Kockázatkezelési stratégia létrehozása | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi hatásvizsgálat elvégzése | CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
Tesztkörnyezetek elkülönítése
Azonosító: NIST SP 800-53 Rev. 4 CM-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági hatáselemzés végrehajtása | CMA_0057 – Biztonsági hatáselemzés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési követelmények létrehozása fejlesztők számára | CMA_0270 – Konfigurációkezelési követelmények létrehozása fejlesztők számára | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi hatásvizsgálat elvégzése | CMA_0387 – Adatvédelmi hatásvizsgálat elvégzése | Manuális, Letiltva | 1.1.0 |
| Naplózás végrehajtása a konfigurációmódosítás-vezérléshez | CMA_0390 – A konfigurációmódosítás-vezérlés naplózása | Manuális, Letiltva | 1.1.0 |
Hozzáférési korlátozások a módosításhoz
Azonosító: NIST SP 800-53 Rev. 4 CM-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Változáskövetési folyamatok létrehozása és dokumentálása | CMA_0265 – Változáskövetési folyamatok létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
Automatikus hozzáférés-kényszerítés / naplózás
Azonosító: NIST SP 800-53 Rev. 4 CM-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hozzáférési korlátozások kényszerítése és naplózása | CMA_C1203 – Hozzáférési korlátozások kényszerítése és naplózása | Manuális, Letiltva | 1.1.0 |
Rendszerváltozások áttekintése
Azonosító: NIST SP 800-53 Rev. 4 CM-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A jogosulatlan módosítások módosításainak áttekintése | CMA_C1204 – A jogosulatlan módosítások módosításainak áttekintése | Manuális, Letiltva | 1.1.0 |
Aláírt összetevők
Azonosító: NIST SP 800-53 Rev. 4 CM-5 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása | CMA_C1205 – Jogosulatlan szoftverek és belső vezérlőprogramok telepítésének korlátozása | Manuális, Letiltva | 1.1.0 |
Termelési/üzemeltetési jogosultságok korlátozása
Azonosító: NIST SP 800-53 Rev. 4 CM-5 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Jogosultságok korlátozása az éles környezetben végzett módosításokhoz | CMA_C1206 – A jogosultságok korlátozása az éles környezetben végzett módosításokhoz | Manuális, Letiltva | 1.1.0 |
| Jogosultságok áttekintése és újraértékelése | CMA_C1207 – Jogosultságok áttekintése és újraértékelése | Manuális, Letiltva | 1.1.0 |
Konfigurációs beállítások
Azonosító: NIST SP 800-53 Rev. 4 CM-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: A függvényalkalmazásoknak engedélyezniük kell az "Ügyféltanúsítványok (Bejövő ügyféltanúsítványok)" funkciót | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak érvényes tanúsítványokkal rendelkező ügyfelek érhetik el az alkalmazást. Ezt a szabályzatot egy új, azonos nevű szabályzat váltotta fel, mert a Http 2.0 nem támogatja az ügyféltanúsítványokat. | Naplózás, letiltva | 3.1.0-elavult |
| Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
| A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítményt telepíteni és engedélyezni kell a fürtökön | A Kubernetes-szolgáltatáshoz (AKS) készült Azure Policy-bővítmény kibővíti a Gatekeeper v3-at, az Open Policy Agent (OPA) beléptető-vezérlő webhookját, hogy központi, konzisztens módon alkalmazza a fürtökre vonatkozó, nagy léptékű kényszerítéseket és védelmet. | Naplózás, letiltva | 1.0.2 |
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
| A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
| A Kubernetes-fürttárolók CPU- és memóriaerőforrás-korlátai nem léphetik túl a megadott korlátokat | A tároló cpu- és memóriaerőforrás-korlátainak kényszerítése az erőforrás-kimerülési támadások elkerülése érdekében a Kubernetes-fürtökben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolók nem oszthatnak meg gazdagépfolyamat-azonosítót vagy gazdagép IPC-névteret | Letilthatja, hogy a podtárolók megosztják a gazdagépfolyamat-azonosító névterét és a gazdagép IPC-névterét egy Kubernetes-fürtben. Ez a javaslat a CIS 5.2.2 és a CIS 5.2.3 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 5.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett AppArmor-profilokat használhatnak | A tárolók csak engedélyezett AppArmor-profilokat használhatnak Egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett képességeket használhatnak | Korlátozza a Kubernetes-fürtök tárolóinak támadási felületének csökkentésére vonatkozó képességeket. Ez a javaslat a CIS 5.2.8 és a CIS 5.2.9 része, amelyek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürttárolók csak engedélyezett lemezképeket használhatnak | Megbízható adatbázisból származó képek használatával csökkentheti a Kubernetes-fürt ismeretlen biztonsági résekkel, biztonsági problémákkal és rosszindulatú rendszerképekkel szembeni kitettségét. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.3.0 |
| A Kubernetes-fürttárolóknak írásvédett legfelső szintű fájlrendszerrel kell futniuk | Futtassa a tárolókat írásvédett legfelső szintű fájlrendszerrel, hogy védelmet nyújtson a futtatáskor bekövetkező változások ellen, és rosszindulatú bináris fájlokat ad hozzá a PATH-hoz egy Kubernetes-fürtben. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.3.0 |
| A Kubernetes-fürt pod hostPath kötetei csak engedélyezett gazdagépútvonalakat használhatnak | A Pod HostPath-kötet csatlakoztatásának korlátozása a Kubernetes-fürtök engedélyezett gazdagépútvonalaira. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes esetében. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai és tárolói csak jóváhagyott felhasználó- és csoportazonosítókkal futhatnak | A kubernetes-fürtben futtatható felhasználói, elsődleges csoport-, kiegészítőcsoport- és fájlrendszercsoport-azonosítók szabályozása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürt podjai csak jóváhagyott gazdagéphálózatot és porttartományt használhatnak | A gazdahálózathoz és a Kubernetes-fürtök engedélyezett gazdagépport-tartományához való podhozzáférés korlátozása. Ez a javaslat a CIS 5.2.4 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 6.2.0 |
| A Kubernetes-fürtszolgáltatásnak csak az engedélyezett portokon kell figyelnie | A kubernetes-fürthöz való hozzáférés biztonságossá tételéhez korlátozza a szolgáltatásokat, hogy csak az engedélyezett portokon hallgassanak. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| A Kubernetes-fürt nem engedélyezheti a kiemelt tárolókat | Ne engedélyezze a kiemelt tárolók létrehozását Kubernetes-fürtön. Ez a javaslat a CIS 5.2.1 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 9.2.0 |
| A Kubernetes-fürtök nem engedélyezhetik a tárolói jogosultságok eszkalálását | Ne engedélyezze, hogy a tárolók jogosultság-eszkalációval fussanak a Kubernetes-fürtök gyökeréhez. Ez a javaslat a CIS 5.2.5 része, amelynek célja a Kubernetes-környezetek biztonságának javítása. Ez a szabályzat általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójához. További információ: https://aka.ms/kubepolicydoc. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 7.2.0 |
| A Linux-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfigurációjának követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.2.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A Windows-gépeknek meg kell felelniük az Azure számítási biztonsági alapkonfiguráció követelményeinek | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a gép nincs megfelelően konfigurálva az Azure számítási biztonsági alapkonfigurációjának egyik javaslatához. | AuditIfNotExists, Disabled | 2.0.0 |
Automatizált központi felügyelet / alkalmazás / ellenőrzés
Azonosító: NIST SP 800-53 Rev. 4 CM-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági konfigurációs beállítások kényszerítése | CMA_0249 – Biztonsági konfigurációs beállítások kényszerítése | Manuális, Letiltva | 1.1.0 |
| Felhőszolgáltatók megfelelőségének szabályozása | CMA_0290 – A felhőszolgáltatók megfelelőségének szabályozása | Manuális, Letiltva | 1.1.0 |
| Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
Minimális funkcionalitás
Azonosító: NIST SP 800-53 Rev. 4 CM-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
Információs rendszer összetevőleltára
Azonosító: NIST SP 800-53 Rev. 4 CM-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatleltár létrehozása | CMA_0096 – Adatleltár létrehozása | Manuális, Letiltva | 1.1.0 |
| A személyes adatok feldolgozásának nyilvántartása | CMA_0353 – A személyes adatok feldolgozásának nyilvántartása | Manuális, Letiltva | 1.1.0 |
Frissítések telepítések/ eltávolítások során
Azonosító: NIST SP 800-53 Rev. 4 CM-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatleltár létrehozása | CMA_0096 – Adatleltár létrehozása | Manuális, Letiltva | 1.1.0 |
| A személyes adatok feldolgozásának nyilvántartása | CMA_0353 – A személyes adatok feldolgozásának nyilvántartása | Manuális, Letiltva | 1.1.0 |
Automatizált, nem engedélyezett összetevők észlelése
Azonosító: NIST SP 800-53 Rev. 4 CM-8 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hálózati eszközök észlelésének engedélyezése | CMA_0220 – Hálózati eszközök észlelésének engedélyezése | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Elszámoltathatósági információk
Azonosító: NIST SP 800-53 Rev. 4 CM-8 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatleltár létrehozása | CMA_0096 – Adatleltár létrehozása | Manuális, Letiltva | 1.1.0 |
| Eszközleltár létrehozása és karbantartása | CMA_0266 – Eszközleltár létrehozása és karbantartása | Manuális, Letiltva | 1.1.0 |
Konfigurációkezelési terv
Azonosító: NIST SP 800-53 Rev. 4 CM-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Konfigurációs terv védelmének létrehozása | CMA_C1233 – Konfigurációs terv védelmének létrehozása | Manuális, Letiltva | 1.1.0 |
| Alapkonfigurációk fejlesztése és karbantartása | CMA_0153 – Alapkonfigurációk fejlesztése és karbantartása | Manuális, Letiltva | 1.1.0 |
| Konfigurációelem-azonosítási terv fejlesztése | CMA_C1231 – Konfigurációelem-azonosítási terv fejlesztése | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv fejlesztése | CMA_C1232 – Konfigurációkezelési terv fejlesztése | Manuális, Letiltva | 1.1.0 |
| Konfigurációkezelési terv létrehozása és dokumentálása | CMA_0264 – Konfigurációkezelési terv létrehozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Automatizált konfigurációkezelő eszköz implementálása | CMA_0311 – Automatizált konfigurációkezelő eszköz implementálása | Manuális, Letiltva | 1.1.0 |
Szoftverhasználati korlátozások
Azonosító: NIST SP 800-53 Rev. 4 CM-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A szellemi tulajdonjogok betartásának megkövetelése | CMA_0432 – A szellemi tulajdonjogoknak való megfelelés megkövetelése | Manuális, Letiltva | 1.1.0 |
| Szoftverlicencek használatának nyomon követése | CMA_C1235 – Szoftverlicencek használatának nyomon követése | Manuális, Letiltva | 1.1.0 |
Nyílt forráskódú szoftverek
Azonosító: NIST SP 800-53 Rev. 4 CM-10 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nyílt forráskód szoftverek használatának korlátozása | CMA_C1237 – A nyílt forráskód szoftver használatának korlátozása | Manuális, Letiltva | 1.1.0 |
Vészhelyzeti tervezés
Készenléti tervezési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 CP-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A készenléti tervezési szabályzatok és eljárások áttekintése és frissítése | CMA_C1243 – A készenléti tervezési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Készenléti terv
Azonosító: NIST SP 800-53 Rev. 4 CP-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A vészhelyzeti terv változásainak közlése | CMA_C1249 – A vészhelyzeti terv változásainak közlése | Manuális, Letiltva | 1.1.0 |
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
| Üzletmenet-folytonossági és vészhelyreállítási terv kidolgozása és dokumentálása | CMA_0146 – Üzletmenet-folytonossági és vészhelyreállítási terv kidolgozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Vészhelyzeti terv kidolgozása | CMA_C1244 – Készenléti terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Készenléti tervezési szabályzatok és eljárások kidolgozása | CMA_0156 – Készenléti tervezési szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Szabályzatok és eljárások terjesztése | CMA_0185 – Szabályzatok és eljárások terjesztése | Manuális, Letiltva | 1.1.0 |
| Vészhelyzeti terv áttekintése | CMA_C1247 – Vészhelyzeti terv áttekintése | Manuális, Letiltva | 1.1.0 |
| Vészhelyzeti terv frissítése | CMA_C1248 – Készenléti terv frissítése | Manuális, Letiltva | 1.1.0 |
A kapcsolódó tervekkel való koordináció
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
Kapacitástervezés
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kapacitástervezés végrehajtása | CMA_C1252 – Kapacitástervezés végrehajtása | Manuális, Letiltva | 1.1.0 |
Alapvető küldetések folytatása / Üzleti függvények
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alapvető üzleti funkciók újraindításának megtervezése | CMA_C1253 – Az alapvető üzleti funkciók újraindításának megtervezése | Manuális, Letiltva | 1.1.0 |
Az összes küldetés folytatása / Üzleti függvények
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az összes küldetés és üzleti funkció folytatása | CMA_C1254 – Az összes küldetés és üzleti funkció folytatása | Manuális, Letiltva | 1.1.0 |
Alapvető küldetések / Üzleti funkciók folytatása
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alapvető üzleti funkciók folyamatosságának megtervezése | CMA_C1255 – Az alapvető üzleti funkciók folyamatosságának megtervezése | Manuális, Letiltva | 1.1.0 |
Kritikus fontosságú objektumok azonosítása
Azonosító: NIST SP 800-53 Rev. 4 CP-2 (8) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Üzleti hatásvizsgálat és alkalmazáskritikussági felmérés végrehajtása | CMA_0386 – Üzleti hatásvizsgálat és alkalmazáskritikussági felmérés végrehajtása | Manuális, Letiltva | 1.1.0 |
Készenléti képzés
Azonosító: NIST SP 800-53 Rev. 4 CP-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vészhelyzeti betanítás biztosítása | CMA_0412 – Készenléti képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Szimulált események
Azonosító: NIST SP 800-53 Rev. 4 CP-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szimulált készenléti betanítás beépítése | CMA_C1260 – Szimulált készenléti betanítás beépítése | Manuális, Letiltva | 1.1.0 |
Vészhelyzeti terv tesztelése
Azonosító: NIST SP 800-53 Rev. 4 CP-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | CMA_C1263 – Vészhelyzeti terv korrekciós műveletek tesztelésének kezdeményezése | Manuális, Letiltva | 1.1.0 |
| A vészhelyzeti terv tesztelésének eredményeinek áttekintése | CMA_C1262 – A készenléti terv tesztelésének eredményeinek áttekintése | Manuális, Letiltva | 1.1.0 |
| Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | CMA_0509 – Az üzletmenet-folytonossági és vészhelyreállítási terv tesztelése | Manuális, Letiltva | 1.1.0 |
A kapcsolódó tervekkel való koordináció
Azonosító: NIST SP 800-53 Rev. 4 CP-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
Alternatív feldolgozási hely
Azonosító: NIST SP 800-53 Rev. 4 CP-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív feldolgozási hely képességeinek kiértékelése | CMA_C1266 – Alternatív feldolgozási hely képességeinek kiértékelése | Manuális, Letiltva | 1.1.0 |
| Vészhelyzeti terv tesztelése alternatív feldolgozási helyen | CMA_C1265 – Vészhelyzeti terv tesztelése alternatív feldolgozási helyen | Manuális, Letiltva | 1.1.0 |
Másodlagos tárolóhely
Azonosító: NIST SP 800-53 Rev. 4 CP-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy a másodlagos tárolóhelyek védelme megegyezik az elsődleges helyekkel | CMA_C1268 – Győződjön meg arról, hogy a másodlagos tárolóhelyek védelme megegyezik az elsődleges helyekkel | Manuális, Letiltva | 1.1.0 |
| Másodlagos tárolóhely létrehozása a biztonsági mentési adatok tárolásához és lekéréséhez | CMA_C1267 – Másodlagos tárolóhely létrehozása a biztonsági mentési adatok tárolásához és lekéréséhez | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Elkülönítés az elsődleges helytől
Azonosító: NIST SP 800-53 Rev. 4 CP-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Különálló másodlagos és elsődleges tárolóhelyek létrehozása | CMA_C1269 – Különálló másodlagos és elsődleges tárolóhelyek létrehozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| A georedundáns tárolást engedélyezni kell a tárfiókokhoz | Magas rendelkezésre állású alkalmazások létrehozása georedundáns használatával | Naplózás, letiltva | 1.0.0 |
| Az Azure SQL Database-ekhez engedélyezni kell a hosszú távú georedundáns biztonsági mentést | Ez a szabályzat naplóz minden olyan Azure SQL Database-t, amely hosszú távú georedundáns biztonsági mentést nem engedélyez. | AuditIfNotExists, Disabled | 2.0.0 |
Helyreállítási idő / pont célkitűzései
Azonosító: NIST SP 800-53 Rev. 4 CP-6 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív tárolóhely létrehozása, amely megkönnyíti a helyreállítási műveleteket | CMA_C1270 – Alternatív tárolóhely létrehozása, amely megkönnyíti a helyreállítási műveleteket | Manuális, Letiltva | 1.1.0 |
Akadálymentesség
Azonosító: NIST SP 800-53 Rev. 4 CP-6 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív tárolóhely lehetséges problémáinak azonosítása és elhárítása | CMA_C1271 – A lehetséges problémák azonosítása és elhárítása alternatív tárolóhelyen | Manuális, Letiltva | 1.1.0 |
Alternatív feldolgozási hely
Azonosító: NIST SP 800-53 Rev. 4 CP-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Virtuális gépek naplózása vészhelyreállítás konfigurálása nélkül | Naplózhatja azokat a virtuális gépeket, amelyeken nincs vészhelyreállítás konfigurálva. Ha többet szeretne megtudni a vészhelyreállításról, látogasson el https://aka.ms/asr-docide. | auditIfNotExists | 1.0.0 |
| Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
Elkülönítés az elsődleges helytől
Azonosító: NIST SP 800-53 Rev. 4 CP-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
Akadálymentesség
Azonosító: NIST SP 800-53 Rev. 4 CP-7 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
Szolgáltatás prioritása
Azonosító: NIST SP 800-53 Rev. 4 CP-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív feldolgozási hely létrehozása | CMA_0262 – Alternatív feldolgozási hely létrehozása | Manuális, Letiltva | 1.1.0 |
| Az internetszolgáltatókra vonatkozó követelmények meghatározása | CMA_0278 – Az internetszolgáltatókra vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Használatra való előkészítés
Azonosító: NIST SP 800-53 Rev. 4 CP-7 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív feldolgozási hely előkészítése operatív helyként való használatra | CMA_C1278 – Alternatív feldolgozási hely előkészítése operatív helyként való használatra | Manuális, Letiltva | 1.1.0 |
A szolgáltatásra vonatkozó rendelkezések prioritása
Azonosító: NIST SP 800-53 Rev. 4 CP-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az internetszolgáltatókra vonatkozó követelmények meghatározása | CMA_0278 – Az internetszolgáltatókra vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
Információs rendszer biztonsági mentése
Azonosító: NIST SP 800-53 Rev. 4 CP-9 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure Backupot engedélyezni kell a virtuális gépeken | Az Azure Backup engedélyezésével gondoskodjon az Azure-beli virtuális gépek védelméről. Az Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. | AuditIfNotExists, Disabled | 3.0.0 |
| Az információs rendszer dokumentációjának biztonsági mentése | CMA_C1289 – Az információs rendszer dokumentációjának biztonsági mentése | Manuális, Letiltva | 1.1.0 |
| Biztonsági mentési szabályzatok és eljárások létrehozása | CMA_0268 – Biztonsági mentési szabályzatok és eljárások létrehozása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MariaDB-ben | Az Azure Database for MariaDB lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for MySQL-ben | Az Azure Database for MySQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell a georedundáns biztonsági mentést az Azure Database for PostgreSQL-ben | Az Azure Database for PostgreSQL lehetővé teszi az adatbázis-kiszolgáló redundanciabeállításának kiválasztását. Beállítható georedundáns biztonsági mentési tárolóra, amelyben az adatok nem csak abban a régióban tárolódnak, amelyben a kiszolgáló üzemel, hanem egy párosított régióba is replikálva, hogy régióhiba esetén helyreállítási lehetőséget biztosítson. A georedundáns biztonsági mentési tár konfigurálása csak a kiszolgáló létrehozása közben engedélyezett. | Naplózás, letiltva | 1.0.1 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| A kulcstartók törlés elleni védelmének engedélyezve kell lennie | A kulcstartó rosszindulatú törlése állandó adatvesztéshez vezethet. A végleges adatvesztést megakadályozhatja a törlés elleni védelem és a helyreállítható törlés engedélyezésével. A törlés elleni védelem a helyreállíthatóan törölt kulcstartók kötelező megőrzési időtartamának kikényszerítésével védi meg a belső támadásokat. A helyreállítható törlési megőrzési időszak alatt a szervezeten vagy a Microsofton belül senki sem fogja tudni kiüríteni a kulcstartókat. Ne feledje, hogy a 2019. szeptember 1. után létrehozott kulcstartók alapértelmezés szerint engedélyezve vannak a helyreállítható törléssel. | Naplózás, megtagadás, letiltva | 2.1.0 |
| A kulcstartókban engedélyezve kell lennie a helyreállítható törlésnek | Ha a kulcstartót helyreállítható törlés nélkül törli, az véglegesen törli a kulcstartóban tárolt összes titkos kulcsot, kulcsot és tanúsítványt. A kulcstartó véletlen törlése tartós adatvesztéshez vezethet. A helyreállítható törlés lehetővé teszi egy véletlenül törölt kulcstartó helyreállítását egy konfigurálható megőrzési időszakra. | Naplózás, megtagadás, letiltva | 3.0.0 |
Külön tároló a kritikus információkhoz
Azonosító: NIST SP 800-53 Rev. 4 CP-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonsági mentési adatok külön tárolása | CMA_C1293 – A biztonsági mentési adatok külön tárolása | Manuális, Letiltva | 1.1.0 |
Átvitel alternatív tárolóhelyre
Azonosító: NIST SP 800-53 Rev. 4 CP-9 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági mentési adatok átvitele másik tárolóhelyre | CMA_C1294 – Biztonsági mentési adatok átvitele másik tárolóhelyre | Manuális, Letiltva | 1.1.0 |
Information System Recovery And Reconstitution
Azonosító: NIST SP 800-53 Rev. 4 CP-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Erőforrások helyreállítása és helyreállítása a megszakítások után | CMA_C1295 – Erőforrások helyreállítása és helyreállítása a megszakítások után | Manuális, Letiltva | 1.1.1 |
Tranzakció helyreállítása
Azonosító: NIST SP 800-53 Rev. 4 CP-10 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tranzakcióalapú helyreállítás implementálása | CMA_C1296 – Tranzakcióalapú helyreállítás megvalósítása | Manuális, Letiltva | 1.1.0 |
Visszaállítás időszakon belül
Azonosító: NIST SP 800-53 Rev. 4 CP-10 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Erőforrások visszaállítása működési állapotba | CMA_C1297 – Erőforrások visszaállítása működési állapotba | Manuális, Letiltva | 1.1.1 |
Azonosítás és hitelesítés
Azonosítási és hitelesítési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 IA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azonosítási és hitelesítési szabályzatok és eljárások áttekintése és frissítése | CMA_C1299 – Azonosítási és hitelesítési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Azonosítás és hitelesítés (szervezeti felhasználók)
Azonosító: NIST SP 800-53 Rev. 4 IA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| Felhasználói egyediség kényszerítése | CMA_0250 – Felhasználói egyediség kényszerítése | Manuális, Letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
| A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | Manuális, Letiltva | 1.1.0 |
Hálózati hozzáférés emelt szintű fiókokhoz
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások tulajdonosi engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden tulajdonosi engedéllyel rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure-erőforrások írási engedélyekkel rendelkező fiókjai számára engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden írási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Hálózati hozzáférés nem emelt szintű fiókokhoz
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az Azure-erőforrások olvasási engedélyeivel rendelkező fiókoknak engedélyezni kell az MFA-t | A többtényezős hitelesítést (MFA) minden olvasási jogosultsággal rendelkező előfizetési fiók esetében engedélyezni kell, hogy megelőzze a fiókok vagy erőforrások megsértését. | AuditIfNotExists, Disabled | 1.0.0 |
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Helyi hozzáférés a kiemelt fiókokhoz
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
Csoporthitelesítés
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Egyéni hitelesítők használatának megkövetelése | CMA_C1305 – Egyéni hitelesítők használatának megkövetelése | Manuális, Letiltva | 1.1.0 |
Távelérés – Különálló eszköz
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (11) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biometrikus hitelesítési mechanizmusok bevezetése | CMA_0005 – Biometrikus hitelesítési mechanizmusok bevezetése | Manuális, Letiltva | 1.1.0 |
| Hálózati eszközök azonosítása és hitelesítése | CMA_0296 – Hálózati eszközök azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
Piv-hitelesítő adatok elfogadása
Azonosító: NIST SP 800-53 Rev. 4 IA-2 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | CMA_0507 – A jogi hatóságok által kiadott személyes ellenőrzési hitelesítő adatok támogatása | Manuális, Letiltva | 1.1.0 |
Azonosítókezelés
Azonosító: NIST SP 800-53 Rev. 4 IA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Azure Active Directory-rendszergazdát kell kiépíteni SQL-kiszolgálókhoz | Azure Active Directory-rendszergazda üzembe helyezésének naplózása az SQL Serverhez az Azure AD-hitelesítés engedélyezéséhez. Az Azure AD-hitelesítés lehetővé teszi az adatbázis-felhasználók és más Microsoft-szolgáltatások | AuditIfNotExists, Disabled | 1.0.0 |
| Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Rendszerazonosítók hozzárendelése | CMA_0018 – Rendszerazonosítók hozzárendelése | Manuális, Letiltva | 1.1.0 |
| Az Azure AI-szolgáltatások erőforrásainak le kell tiltani a kulcshozzáférést (letiltani a helyi hitelesítést) | A kulcshozzáférés (helyi hitelesítés) használata ajánlott a biztonság érdekében. A fejlesztésben/tesztelésben általában használt Azure OpenAI Studio kulcshozzáférést igényel, és nem működik, ha a kulcshozzáférés le van tiltva. A letiltás után a Microsoft Entra ID lesz az egyetlen hozzáférési módszer, amely lehetővé teszi a minimális jogosultsági elv és a részletes vezérlés fenntartását. További információ: https://aka.ms/AI/auth | Naplózás, megtagadás, letiltva | 1.1.0 |
| A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
| Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban | CMA_C1314 – Az azonosítók újbóli felhasználásának megakadályozása a megadott időszakban | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknek csak az Azure Active Directoryt kell használniuk az ügyfél-hitelesítéshez | Ügyfélhitelesítés használatának naplózása csak az Azure Active Directoryn keresztül a Service Fabricben | Naplózás, megtagadás, letiltva | 1.1.0 |
Felhasználói állapot azonosítása
Azonosító: NIST SP 800-53 Rev. 4 IA-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az egyes felhasználók állapotának azonosítása | CMA_C1316 – Az egyes felhasználók állapotának azonosítása | Manuális, Letiltva | 1.1.0 |
Hitelesítő kezelése
Azonosító: NIST SP 800-53 Rev. 4 IA-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A Linux rendszerű gépek hitelesítéséhez SSH-kulcsok szükségesek | Bár maga az SSH titkosított kapcsolatot biztosít, a jelszavak SSH-val való használata továbbra is sebezhetővé teszi a virtuális gépet a találgatásos támadások ellen. Az Azure Linux rendszerű virtuális gépek SSH-val történő hitelesítésének legbiztonságosabb lehetősége egy nyilvános és privát kulcspár, más néven SSH-kulcsok használata. További információ: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| A tanúsítványoknak a megadott maximális érvényességi idővel kell rendelkezniük | A szervezeti megfelelőségi követelmények kezeléséhez adja meg a tanúsítvány érvényességének maximális időtartamát a kulcstartóban. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 2.2.1 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Hitelesítő típusok és folyamatok létrehozása | CMA_0267 – Hitelesítő típusok és folyamatok létrehozása | Manuális, Letiltva | 1.1.0 |
| A kezdeti hitelesítők terjesztésére vonatkozó eljárások létrehozása | CMA_0276 – Eljárások létrehozása a kezdeti hitelesítők terjesztéséhez | Manuális, Letiltva | 1.1.0 |
| A hitelesítők védelmére vonatkozó képzés megvalósítása | CMA_0329 – A hitelesítők védelmére vonatkozó képzés megvalósítása | Manuális, Letiltva | 1.1.0 |
| A Key Vault-kulcsoknak lejárati dátummal kell rendelkezniük | A titkosítási kulcsoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes kulcsok több időt biztosítanak a potenciális támadóknak a kulcs feltörésére. Ajánlott biztonsági gyakorlat a titkosítási kulcsok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A Key Vault titkos kulcsának lejárati dátummal kell rendelkeznie | A titkos kódoknak meghatározott lejárati dátummal kell rendelkezniük, és nem lehetnek állandók. Az örökké érvényes titkos kódok több időt biztosítanak a potenciális támadóknak, hogy feltörjék őket. Ajánlott biztonsági eljárás a titkos kódok lejárati dátumának beállítása. | Naplózás, megtagadás, letiltva | 1.0.2 |
| A hitelesítő élettartamának és újrafelhasználásának kezelése | CMA_0355 – A hitelesítő élettartamának és újrafelhasználásának kezelése | Manuális, Letiltva | 1.1.0 |
| Hitelesítők kezelése | CMA_C1321 – Hitelesítők kezelése | Manuális, Letiltva | 1.1.0 |
| Hitelesítők frissítése | CMA_0425 – Hitelesítők frissítése | Manuális, Letiltva | 1.1.0 |
| Hitelesítők újbóli kiadása megváltozott csoportokhoz és fiókokhoz | CMA_0426 – A módosított csoportok és fiókok hitelesítőinek újbóli kiadása | Manuális, Letiltva | 1.1.0 |
| Identitás ellenőrzése a hitelesítők terjesztése előtt | CMA_0538 – Identitás ellenőrzése a hitelesítők terjesztése előtt | Manuális, Letiltva | 1.1.0 |
Jelszóalapú hitelesítés
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez identitás nélküli virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, de nem rendelkezik felügyelt identitásokkal. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Rendszer által hozzárendelt felügyelt identitás hozzáadása a vendégkonfigurációs hozzárendelések engedélyezéséhez felhasználó által hozzárendelt identitással rendelkező virtuális gépeken | Ez a szabályzat egy rendszer által hozzárendelt felügyelt identitást ad hozzá az Azure-ban üzemeltetett virtuális gépekhez, amelyeket a vendégkonfiguráció támogat, és legalább egy felhasználó által hozzárendelt identitással rendelkezik, de nem rendelkezik rendszer által hozzárendelt felügyelt identitással. A rendszer által hozzárendelt felügyelt identitás előfeltétele minden vendégkonfigurációs hozzárendelésnek, és a vendégkonfigurációs szabályzatdefiníciók használata előtt hozzá kell adni a gépekhez. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | módosítás | 4.1.0 |
| Olyan Linux-gépek naplózása, amelyek nem rendelkeznek a passwd fájlengedélyekkel 0644-re állítva | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Linux-gépek, amelyek nem rendelkeznek a passwd fájlengedélyekkel, 0644-re vannak beállítva | AuditIfNotExists, Disabled | 3.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek lehetővé teszik a jelszavak újbóli használatát a megadott számú egyedi jelszó után | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek lehetővé teszik a jelszavak ismételt használatát a megadott számú egyedi jelszó után. Az egyedi jelszavak alapértelmezett értéke 24 | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott számú napra beállított maximális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó maximális életkora nem meghatározott számú napra van beállítva. A jelszó maximális életkorának alapértelmezett értéke 70 nap | AuditIfNotExists, Disabled | 2.1.0 |
| A megadott számú napra beállított minimális jelszó-korhatárt nem tartalmazó Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken a jelszó minimális életkora nem meghatározott számú napra van beállítva. A jelszó minimális életkorának alapértelmezett értéke 1 nap | AuditIfNotExists, Disabled | 2.1.0 |
| Olyan Windows rendszerű gépek naplózása, amelyeken nincs engedélyezve a jelszó-összetettség beállítása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépeken nincs engedélyezve a jelszó-összetettség beállítása | AuditIfNotExists, Disabled | 2.0.0 |
| Olyan Windows rendszerű gépek naplózása, amelyek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha a windowsos gépek nem korlátozzák a jelszó minimális hosszát megadott számú karakterre. A jelszó minimális hosszának alapértelmezett értéke 14 karakter | AuditIfNotExists, Disabled | 2.1.0 |
| A jelszavakat nem reverzibilis titkosítással tároló Windows-gépek naplózása | Megköveteli, hogy az előfeltételek a szabályzat-hozzárendelés hatókörében legyenek üzembe helyezve. A részletekért látogasson el ide https://aka.ms/gcpol. A gépek nem megfelelőek, ha azok a Windows-gépek, amelyek nem tárolnak jelszavakat visszafejthető titkosítással | AuditIfNotExists, Disabled | 2.0.0 |
| A Linux vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések linuxos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Linux vendégkonfigurációs bővítményt az Azure-ban üzemeltetett Linux rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Linux vendégkonfigurációs bővítmény előfeltétele minden Linux-vendégkonfigurációs hozzárendelésnek, és a Linux vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| A Windows vendégkonfigurációs bővítmény üzembe helyezése a vendégkonfigurációs hozzárendelések windowsos virtuális gépeken való engedélyezéséhez | Ez a szabályzat telepíti a Windows Vendégkonfiguráció bővítményt az Azure-ban üzemeltetett Windows rendszerű virtuális gépekre, amelyeket a vendégkonfiguráció támogat. A Windows vendégkonfigurációs bővítmény előfeltétele az összes Windows vendégkonfigurációs hozzárendelésnek, és a Windows vendégkonfigurációs szabályzatdefiníciók használata előtt telepíteni kell a gépekre. További információ a vendégkonfigurációról: https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Jelszóházirend létrehozása | CMA_0256 – Jelszóházirend létrehozása | Manuális, Letiltva | 1.1.0 |
| Paraméterek implementálása a memorizált titkos kód ellenőrzőihez | CMA_0321 – Paraméterek implementálása a memorizált titkos kód ellenőrzőihez | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
Pki-alapú hitelesítés
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítők és identitások dinamikus kötése | CMA_0035 – Hitelesítők és identitások dinamikus kötése | Manuális, Letiltva | 1.1.0 |
| Hitelesítő típusok és folyamatok létrehozása | CMA_0267 – Hitelesítő típusok és folyamatok létrehozása | Manuális, Letiltva | 1.1.0 |
| Paraméterek létrehozása titkos hitelesítők és hitelesítők kereséséhez | CMA_0274 – Paraméterek létrehozása titkos hitelesítők és hitelesítők kereséséhez | Manuális, Letiltva | 1.1.0 |
| A kezdeti hitelesítők terjesztésére vonatkozó eljárások létrehozása | CMA_0276 – Eljárások létrehozása a kezdeti hitelesítők terjesztéséhez | Manuális, Letiltva | 1.1.0 |
| Hitelesített identitások leképezése egyénekre | CMA_0372 – Hitelesített identitások leképezése egyénekre | Manuális, Letiltva | 1.1.0 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Identitás ellenőrzése a hitelesítők terjesztése előtt | CMA_0538 – Identitás ellenőrzése a hitelesítők terjesztése előtt | Manuális, Letiltva | 1.1.0 |
Személyes vagy megbízható harmadik fél regisztrációja
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítők terjesztése | CMA_0184 – Hitelesítők terjesztése | Manuális, Letiltva | 1.1.0 |
Automatikus támogatás a jelszóerősség meghatározásához
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Jelszóházirend létrehozása | CMA_0256 – Jelszóházirend létrehozása | Manuális, Letiltva | 1.1.0 |
| Paraméterek implementálása a memorizált titkos kód ellenőrzőihez | CMA_0321 – Paraméterek implementálása a memorizált titkos kód ellenőrzőihez | Manuális, Letiltva | 1.1.0 |
Hitelesítők védelme
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket | CMA_C1339 – Győződjön meg arról, hogy a jogosult felhasználók védik a megadott hitelesítőket | Manuális, Letiltva | 1.1.0 |
Nincsenek beágyazott titkosítatlan statikus hitelesítők
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy nincsenek titkosítatlan statikus hitelesítők | CMA_C1340 – Győződjön meg arról, hogy nincsenek titkosítatlan statikus hitelesítők | Manuális, Letiltva | 1.1.0 |
Hardveres jogkivonat-alapú hitelesítés
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (11) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A jogkivonatok minőségi követelményeinek kielégítése | CMA_0487 – A jogkivonatok minőségi követelményeinek kielégítése | Manuális, Letiltva | 1.1.0 |
Gyorsítótárazott hitelesítők lejárata
Azonosító: NIST SP 800-53 Rev. 4 IA-5 (13) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Gyorsítótárazott hitelesítők lejáratának kényszerítése | CMA_C1343 – Gyorsítótárazott hitelesítők lejáratának kényszerítése | Manuális, Letiltva | 1.1.0 |
Hitelesítő visszajelzése
Azonosító: NIST SP 800-53 Rev. 4 IA-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Homályos visszajelzési információk a hitelesítési folyamat során | CMA_C1344 – Homályos visszajelzési információk a hitelesítési folyamat során | Manuális, Letiltva | 1.1.0 |
Titkosítási modul hitelesítése
Azonosító: NIST SP 800-53 Rev. 4 IA-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hitelesítés titkosítási modulba | CMA_0021 – Hitelesítés titkosítási modulba | Manuális, Letiltva | 1.1.0 |
Azonosítás és hitelesítés (nem szervezeti felhasználók)
Azonosító: NIST SP 800-53 Rev. 4 IA-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem szervezeti felhasználók azonosítása és hitelesítése | CMA_C1346 – Nem szervezeti felhasználók azonosítása és hitelesítése | Manuális, Letiltva | 1.1.0 |
A Piv hitelesítő adatainak elfogadása más ügynökségektől
Azonosító: NIST SP 800-53 Rev. 4 IA-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| PIV-hitelesítő adatok elfogadása | CMA_C1347 – PIV-hitelesítő adatok elfogadása | Manuális, Letiltva | 1.1.0 |
Külső hitelesítő adatok elfogadása
Azonosító: NIST SP 800-53 Rev. 4 IA-8 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Csak FICAM által jóváhagyott külső hitelesítő adatok elfogadása | CMA_C1348 – Csak FICAM által jóváhagyott, harmadik féltől származó hitelesítő adatok elfogadása | Manuális, Letiltva | 1.1.0 |
Ficam által jóváhagyott termékek használata
Azonosító: NIST SP 800-53 Rev. 4 IA-8 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| FICAM által jóváhagyott erőforrások alkalmazása harmadik féltől származó hitelesítő adatok elfogadásához | CMA_C1349 – FICAM által jóváhagyott erőforrások alkalmazása külső féltől származó hitelesítő adatok elfogadásához | Manuális, Letiltva | 1.1.0 |
Ficam által kiadott profilok használata
Azonosító: NIST SP 800-53 Rev. 4 IA-8 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A FICAM által kiadott profiloknak való megfelelés | CMA_C1350 – A FICAM által kiadott profiloknak való megfelelés | Manuális, Letiltva | 1.1.0 |
Incidensmegoldás
Incidenskezelési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 IR-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | CMA_C1352 – Incidenskezelési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Incidenskezelés – oktatás
Azonosító: NIST SP 800-53 Rev. 4 IR-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információk kiömlése betanításának biztosítása | CMA_0413 – Információátömlési képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Szimulált események
Azonosító: NIST SP 800-53 Rev. 4 IR-2 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szimulált események beépítése az incidenskezelés betanításába | CMA_C1356 – Szimulált események beépítése incidensmegoldási képzésbe | Manuális, Letiltva | 1.1.0 |
Automatizált betanítási környezetek
Azonosító: NIST SP 800-53 Rev. 4 IR-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Automatizált betanítási környezet alkalmazása | CMA_C1357 – Automatizált betanítási környezet alkalmazása | Manuális, Letiltva | 1.1.0 |
Incidensválasz tesztelése
Azonosító: NIST SP 800-53 Rev. 4 IR-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelés tesztelése | CMA_0060 – Incidenskezelés tesztelése | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági program létrehozása | CMA_0263 – Információbiztonsági program létrehozása | Manuális, Letiltva | 1.1.0 |
| Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
Koordináció a kapcsolódó tervekkel
Azonosító: NIST SP 800-53 Rev. 4 IR-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelés tesztelése | CMA_0060 – Incidenskezelés tesztelése | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági program létrehozása | CMA_0263 – Információbiztonsági program létrehozása | Manuális, Letiltva | 1.1.0 |
| Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
Incidenskezelés
Azonosító: NIST SP 800-53 Rev. 4 IR-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Készenléti tervek koordinálása kapcsolódó tervekkel | CMA_0086 – Vészhelyzeti tervek koordinálása kapcsolódó tervekkel | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
| Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
| Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
| Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Automatizált incidenskezelési folyamatok
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
Dinamikus újrakonfigurálás
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | CMA_C1364 – Az ügyfél által üzembe helyezett erőforrások dinamikus újrakonfigurálásának belefoglalása | Manuális, Letiltva | 1.1.0 |
A műveletek folytonossága
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidensek és végrehajtott műveletek osztályainak azonosítása | CMA_C1365 – Incidensek és végrehajtott műveletek osztályainak azonosítása | Manuális, Letiltva | 1.1.0 |
Információ korrelációja
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
Insider Threats – Speciális képességek
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési képesség implementálása | CMA_C1367 – Incidenskezelési képesség implementálása | Manuális, Letiltva | 1.1.0 |
Korreláció külső szervezetekkel
Azonosító: NIST SP 800-53 Rev. 4 IR-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Együttműködés a külső szervezetekkel a szervezetközi perspektívák elérése érdekében | CMA_C1368 – Együttműködés külső szervezetekkel a szervezetközi perspektívák elérése érdekében | Manuális, Letiltva | 1.1.0 |
Incidensfigyelés
Azonosító: NIST SP 800-53 Rev. 4 IR-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Automatizált jelentéskészítés
Azonosító: NIST SP 800-53 Rev. 4 IR-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági műveletek dokumentálása | CMA_0202 – Biztonsági műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
Incidensekkel kapcsolatos biztonsági rések
Azonosító: NIST SP 800-53 Rev. 4 IR-6 (2) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Incidenskezelési segítség
Azonosító: NIST SP 800-53 Rev. 4 IR-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági műveletek dokumentálása | CMA_0202 – Biztonsági műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
Automatizálási támogatás az információk rendelkezésre állásához / támogatás
Azonosító: NIST SP 800-53 Rev. 4 IR-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Hálózatvédelem engedélyezése | CMA_0238 – Hálózatvédelem engedélyezése | Manuális, Letiltva | 1.1.0 |
| Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
| Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Korlátozott felhasználók megtekintése és vizsgálata | CMA_0545 – Korlátozott felhasználók megtekintése és vizsgálata | Manuális, Letiltva | 1.1.0 |
Koordináció külső szolgáltatókkal
Azonosító: NIST SP 800-53 Rev. 4 IR-7 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kapcsolat létrehozása az incidenskezelési képesség és a külső szolgáltatók között | CMA_C1376 – Kapcsolat létrehozása az incidenskezelési képesség és a külső szolgáltatók között | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési személyzet azonosítása | CMA_0301 – Incidenskezelési személyzet azonosítása | Manuális, Letiltva | 1.1.0 |
Incidensmegoldási terv
Azonosító: NIST SP 800-53 Rev. 4 IR-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági események felmérése | CMA_0013 – Információbiztonsági események felmérése | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelés implementálása | CMA_0318 – Incidenskezelés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Adatszivárgási rekordok kezelése | CMA_0351 – Adatszivárgási rekordok karbantartása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv karbantartása | CMA_0352 – Incidenskezelési terv karbantartása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv védelme | CMA_0405 – Incidenskezelési terv védelme | Manuális, Letiltva | 1.1.0 |
Információk kiömlése válasz
Azonosító: NIST SP 800-53 Rev. 4 IR-9 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Szennyezett adatok felszámolása | CMA_0253 – Szennyezett adatok felszámolása | Manuális, Letiltva | 1.1.0 |
| Műveletek végrehajtása az információk kiömlésére válaszul | CMA_0281 – Műveletek végrehajtása az információk kiömlésére válaszul | Manuális, Letiltva | 1.1.0 |
| Szennyezett rendszerek és összetevők azonosítása | CMA_0300 – Szennyezett rendszerek és összetevők azonosítása | Manuális, Letiltva | 1.1.0 |
| A kiömlött információk azonosítása | CMA_0303 – Kiömlött információk azonosítása | Manuális, Letiltva | 1.1.0 |
| Az információk kiömlött adatainak elkülönítése | CMA_0346 – Az információk kiömlött adatainak elkülönítése | Manuális, Letiltva | 1.1.0 |
Felelős személyzet
Azonosító: NIST SP 800-53 Rev. 4 IR-9 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Incidenskezelési személyzet azonosítása | CMA_0301 – Incidenskezelési személyzet azonosítása | Manuális, Letiltva | 1.1.0 |
Oktatás
Azonosító: NIST SP 800-53 Rev. 4 IR-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információk kiömlése betanításának biztosítása | CMA_0413 – Információátömlési képzés biztosítása | Manuális, Letiltva | 1.1.0 |
Kiömlés utáni műveletek
Azonosító: NIST SP 800-53 Rev. 4 IR-9 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A kiömlésre adott válasz eljárásainak fejlesztése | CMA_0162 – Kiömlött válasz eljárások fejlesztése | Manuális, Letiltva | 1.1.0 |
Illetéktelen személyeknek való kitettség
Azonosító: NIST SP 800-53 Rev. 4 IR-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági garanciák fejlesztése | CMA_0161 – Biztonsági garanciák fejlesztése | Manuális, Letiltva | 1.1.0 |
Karbantartás
Rendszerkarbantartási szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 MA-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerkarbantartási szabályzatok és eljárások áttekintése és frissítése | CMA_C1395 – Rendszerkarbantartási szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Szabályozott karbantartás
Azonosító: NIST SP 800-53 Rev. 4 MA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Karbantartási és javítási tevékenységek szabályozása | CMA_0080 – Karbantartási és javítási tevékenységek szabályozása | Manuális, Letiltva | 1.1.0 |
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Automatizált karbantartási tevékenységek
Azonosító: NIST SP 800-53 Rev. 4 MA-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Távoli karbantartási tevékenységek automatizálása | CMA_C1402 – Távoli karbantartási tevékenységek automatizálása | Manuális, Letiltva | 1.1.0 |
| A távkarbantartási tevékenységek teljes nyilvántartásának készítése | CMA_C1403 – A távkarbantartási tevékenységek teljes nyilvántartásának készítése | Manuális, Letiltva | 1.1.0 |
Karbantartási eszközök
Azonosító: NIST SP 800-53 Rev. 4 MA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Karbantartási és javítási tevékenységek szabályozása | CMA_0080 – Karbantartási és javítási tevékenységek szabályozása | Manuális, Letiltva | 1.1.0 |
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Eszközök vizsgálata
Azonosító: NIST SP 800-53 Rev. 4 MA-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Karbantartási és javítási tevékenységek szabályozása | CMA_0080 – Karbantartási és javítási tevékenységek szabályozása | Manuális, Letiltva | 1.1.0 |
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Adathordozó vizsgálata
Azonosító: NIST SP 800-53 Rev. 4 MA-3 (2) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Karbantartási és javítási tevékenységek szabályozása | CMA_0080 – Karbantartási és javítási tevékenységek szabályozása | Manuális, Letiltva | 1.1.0 |
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Jogosulatlan eltávolítás megakadályozása
Azonosító: NIST SP 800-53 Rev. 4 MA-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Karbantartási és javítási tevékenységek szabályozása | CMA_0080 – Karbantartási és javítási tevékenységek szabályozása | Manuális, Letiltva | 1.1.0 |
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Nem lokális karbantartás
Azonosító: NIST SP 800-53 Rev. 4 MA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Dokumentum nem lokális karbantartása
Azonosító: NIST SP 800-53 Rev. 4 MA-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | CMA_0364 – Nem lokális karbantartási és diagnosztikai tevékenységek kezelése | Manuális, Letiltva | 1.1.0 |
Hasonló biztonság / Fertőtlenítés
Azonosító: NIST SP 800-53 Rev. 4 MA-4 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Minden nem helyi karbantartás végrehajtása | CMA_C1417 – Minden nem helyi karbantartás elvégzése | Manuális, Letiltva | 1.1.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 4 MA-4 (6) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Titkosítási mechanizmusok implementálása | CMA_C1419 – Titkosítási mechanizmusok implementálása | Manuális, Letiltva | 1.1.0 |
Karbantartó személyzet
Azonosító: NIST SP 800-53 Rev. 4 MA-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére | CMA_C1422 – Személyzet kijelölése jogosulatlan karbantartási tevékenységek felügyeletére | Manuális, Letiltva | 1.1.0 |
| Az engedélyezett távkarbantartási munkatársak listájának karbantartása | CMA_C1420 – Az engedélyezett távkarbantartó személyzet listájának karbantartása | Manuális, Letiltva | 1.1.0 |
| Karbantartó személyzet kezelése | CMA_C1421 – Karbantartó személyzet kezelése | Manuális, Letiltva | 1.1.0 |
Megfelelő hozzáféréssel nem rendelkező személyek
Azonosító: NIST SP 800-53 Rev. 4 MA-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Időbeni karbantartás
Azonosító: NIST SP 800-53 Rev. 4 MA-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Időbeni karbantartás támogatása | CMA_C1425 – Időbeni karbantartás támogatása | Manuális, Letiltva | 1.1.0 |
Médiavédelem
Médiavédelmi szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 MP-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiavédelmi szabályzatok és eljárások áttekintése és frissítése | CMA_C1427 – Médiavédelmi szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Médiahozzáférés
Azonosító: NIST SP 800-53 Rev. 4 MP-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Médiajelölés
Azonosító: NIST SP 800-53 Rev. 4 MP-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Media Storage
Azonosító: NIST SP 800-53 Rev. 4 MP-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Médiaátvitel
Azonosító: NIST SP 800-53 Rev. 4 MP-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Eszközök szállításának kezelése | CMA_0370 – Eszközök szállításának kezelése | Manuális, Letiltva | 1.1.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 4 MP-5 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Eszközök szállításának kezelése | CMA_0370 – Eszközök szállításának kezelése | Manuális, Letiltva | 1.1.0 |
Médiafertőtlenítés
Azonosító: NIST SP 800-53 Rev. 4 MP-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Felülvizsgálat / Jóváhagyás / Nyomon követés / Dokumentum / Ellenőrzés
Azonosító: NIST SP 800-53 Rev. 4 MP-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Berendezések tesztelése
Azonosító: NIST SP 800-53 Rev. 4 MP-6 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Médiafertőtlenítési mechanizmus alkalmazása | CMA_0208 – Médiafertőtlenítési mechanizmus alkalmazása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
Médiahasználat
Azonosító: NIST SP 800-53 Rev. 4 MP-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Hordozható tárolóeszközök használatának szabályozása | CMA_0083 – Hordozható tárolóeszközök használatának szabályozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Médiahasználat korlátozása | CMA_0450 – Médiahasználat korlátozása | Manuális, Letiltva | 1.1.0 |
Használat tiltása tulajdonos nélkül
Azonosító: NIST SP 800-53 Rev. 4 MP-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Hordozható tárolóeszközök használatának szabályozása | CMA_0083 – Hordozható tárolóeszközök használatának szabályozása | Manuális, Letiltva | 1.1.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Médiahasználat korlátozása | CMA_0450 – Médiahasználat korlátozása | Manuális, Letiltva | 1.1.0 |
Fizikai és környezetvédelmi
Fizikai és környezetvédelmi politika és eljárások
Azonosító: NIST SP 800-53 Rev. 4 PE-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai és környezetvédelmi szabályzatok és eljárások áttekintése és frissítése | CMA_C1446 – Fizikai és környezetvédelmi szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Fizikai hozzáférés engedélyezése
Azonosító: NIST SP 800-53 Rev. 4 PE-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
Fizikai hozzáférés-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 PE-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Eszközleltár létrehozása és karbantartása | CMA_0266 – Eszközleltár létrehozása és karbantartása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Hozzáférés-vezérlés átviteli adathordozóhoz
Azonosító: NIST SP 800-53 Rev. 4 PE-4 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Hozzáférés-vezérlés kimeneti eszközökhöz
Azonosító: NIST SP 800-53 Rev. 4 PE-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
Behatolásjelzők / Megfigyelő berendezések
Azonosító: NIST SP 800-53 Rev. 4 PE-6 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztórendszer telepítése | CMA_0338 – Riasztórendszer telepítése | Manuális, Letiltva | 1.1.0 |
| Biztonságos térfigyelő kamerarendszer kezelése | CMA_0354 – Biztonságos térfigyelő kamerarendszer kezelése | Manuális, Letiltva | 1.1.0 |
Látogatói hozzáférési rekordok
Azonosító: NIST SP 800-53 Rev. 4 PE-8 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Vészvilágítás
Azonosító: NIST SP 800-53 Rev. 4 PE-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Automatikus vészvilágítás alkalmazása | CMA_0209 – Automatikus vészvilágítás alkalmazása | Manuális, Letiltva | 1.1.0 |
Tűzvédelem
Azonosító: NIST SP 800-53 Rev. 4 PE-13 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Észlelési eszközök / rendszerek
Azonosító: NIST SP 800-53 Rev. 4 PE-13 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Behatolástesztelési módszertan implementálása | CMA_0306 – Behatolástesztelési módszertan implementálása | Manuális, Letiltva | 1.1.0 |
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
| Szimulációs támadások futtatása | CMA_0486 – Szimulációs támadások futtatása | Manuális, Letiltva | 1.1.0 |
Elnyomási eszközök / rendszerek
Azonosító: NIST SP 800-53 Rev. 4 PE-13 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Automatikus tűzelnyomás
Azonosító: NIST SP 800-53 Rev. 4 PE-13 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Hőmérséklet- és páratartalom-vezérlés
Azonosító: NIST SP 800-53 Rev. 4 PE-14 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Figyelés riasztásokkal/ értesítésekkel
Azonosító: NIST SP 800-53 Rev. 4 PE-14 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
| Riasztórendszer telepítése | CMA_0338 – Riasztórendszer telepítése | Manuális, Letiltva | 1.1.0 |
Vízkár elleni védelem
Azonosító: NIST SP 800-53 Rev. 4 PE-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Kézbesítés és eltávolítás
Azonosító: NIST SP 800-53 Rev. 4 PE-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az eszközök kezelésével kapcsolatos követelmények meghatározása | CMA_0125 – Az eszközök kezelésével kapcsolatos követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Eszközök szállításának kezelése | CMA_0370 – Eszközök szállításának kezelése | Manuális, Letiltva | 1.1.0 |
Alternatív munkawebhely
Azonosító: NIST SP 800-53 Rev. 4 PE-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | CMA_0315 – Vezérlők implementálása alternatív munkaterületek biztonságossá tételéhez | Manuális, Letiltva | 1.1.0 |
Az információs rendszer összetevőinek helye
Azonosító: NIST SP 800-53 Rev. 4 PE-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | CMA_0323 – Az irodák, a munkaterületek és a biztonságos területek fizikai biztonságának megvalósítása | Manuális, Letiltva | 1.1.0 |
Tervezés
Biztonsági tervezési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 PL-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tervezési szabályzatok és eljárások áttekintése és frissítése | CMA_C1491 – Tervezési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Rendszerbiztonsági terv
Azonosító: NIST SP 800-53 Rev. 4 PL-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági szabályzatok és eljárások fejlesztése | CMA_0158 – Információbiztonsági szabályzatok és eljárások fejlesztése | Manuális, Letiltva | 1.1.0 |
| Feltételeknek megfelelő SSP fejlesztése | CMA_C1492 – Feltételeknek megfelelő SSP fejlesztése | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi program létrehozása | CMA_0257 – Adatvédelmi program létrehozása | Manuális, Letiltva | 1.1.0 |
| A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Más szervezeti entitásokkal való tervezés/koordinálás
Azonosító: NIST SP 800-53 Rev. 4 PL-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerbiztonsági terv kidolgozása és létrehozása | CMA_0151 – Rendszerbiztonsági terv kidolgozása és létrehozása | Manuális, Letiltva | 1.1.0 |
| A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | CMA_0279 – A csatlakoztatott eszközök gyártására vonatkozó biztonsági követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | CMA_0325 – Az információs rendszerek biztonságtechnikai alapelveinek megvalósítása | Manuális, Letiltva | 1.1.0 |
Viselkedési szabályok
Azonosító: NIST SP 800-53 Rev. 4 PL-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
| Szervezeti magatartási szabályzat fejlesztése | CMA_0159 – Szervezeti magatartási szabályzat kidolgozása | Manuális, Letiltva | 1.1.0 |
| A személyzet adatvédelmi követelményeinek elfogadása | CMA_0193 – A személyzet adatvédelmi követelményeinek elfogadása | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
| Tisztességtelen eljárások tiltása | CMA_0396 – Tisztességtelen eljárások tiltása | Manuális, Letiltva | 1.1.0 |
| Módosított viselkedési szabályok áttekintése és aláírása | CMA_0465 – Felülvizsgált viselkedési szabályok áttekintése és aláírása | Manuális, Letiltva | 1.1.0 |
| Információbiztonsági szabályzatok frissítése | CMA_0518 – Információbiztonsági szabályzatok frissítése | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szerződések szabályainak frissítése | CMA_0521 – Viselkedési és hozzáférési szerződések szabályainak frissítése | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | CMA_0522 – A viselkedési és hozzáférési szerződések szabályainak frissítése 3 évente | Manuális, Letiltva | 1.1.0 |
Közösségi média és hálózatkezelési korlátozások
Azonosító: NIST SP 800-53 Rev. 4 PL-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Elfogadható használati szabályzatok és eljárások kidolgozása | CMA_0143 – Elfogadható használati szabályzatok és eljárások kidolgozása | Manuális, Letiltva | 1.1.0 |
Információbiztonsági architektúra
Azonosító: NIST SP 800-53 Rev. 4 PL-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Üzemeltetési koncepció (CONOPS) kidolgozása | CMA_0141 – Üzemeltetési koncepció (CONOPS) kidolgozása | Manuális, Letiltva | 1.1.0 |
| Az információbiztonsági architektúra áttekintése és frissítése | CMA_C1504 – Az információbiztonsági architektúra áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Személyzeti biztonság
Személyzeti biztonsági szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 PS-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A személyzeti biztonsági szabályzatok és eljárások áttekintése és frissítése | CMA_C1507 – A személyzeti biztonsági szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Pozíciókockázat megjelölése
Id: NIST SP 800-53 Rev. 4 PS-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázatmegjelölések hozzárendelése | CMA_0016 – Kockázatjelzők hozzárendelése | Manuális, Letiltva | 1.1.0 |
Személyzet szűrése
Azonosító: NIST SP 800-53 Rev. 4 PS-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A minősített adatokhoz való hozzáféréssel rendelkező személyzet törlése | CMA_0054 – A minősített információkhoz való hozzáféréssel rendelkező személyzet törlése | Manuális, Letiltva | 1.1.0 |
| A személyzet szűrésének megvalósítása | CMA_0322 – Személyzetszűrés megvalósítása | Manuális, Letiltva | 1.1.0 |
| Személyek ismételt képernyőre vetítése meghatározott gyakorisággal | CMA_C1512 – Személyek újraszűnítése meghatározott gyakorisággal | Manuális, Letiltva | 1.1.0 |
Különleges védelmi intézkedésekkel kapcsolatos információk
Azonosító: NIST SP 800-53 Rev. 4 PS-3 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
Személyzet megszüntetése
Azonosító: NIST SP 800-53 Rev. 4 PS-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kilépési interjú lefolytatása a megszüntetéskor | CMA_0058 – Kilépési interjú befejezésekor | Manuális, Letiltva | 1.1.0 |
| Hitelesítők letiltása a leállításkor | CMA_0169 – Hitelesítők letiltása a megszüntetéskor | Manuális, Letiltva | 1.1.0 |
| Értesítés a felmondásról vagy az átadásról | CMA_0381 – Értesítés a felmondásról vagy az átadásról | Manuális, Letiltva | 1.1.0 |
| Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása | CMA_0398 – Védelem a távozó alkalmazottak adatlopása ellen és megakadályozása | Manuális, Letiltva | 1.1.0 |
| Megszakított felhasználói adatok megőrzése | CMA_0455 – Megszakított felhasználói adatok megőrzése | Manuális, Letiltva | 1.1.0 |
Automatikus értesítés
Azonosító: NIST SP 800-53 Rev. 4 PS-4 (2) Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az alkalmazottak felmondásáról szóló értesítés automatizálása | CMA_C1521 – Az alkalmazottak felmondásáról szóló értesítés automatizálása | Manuális, Letiltva | 1.1.0 |
Személyzet átadása
Azonosító: NIST SP 800-53 Rev. 4 PS-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése | CMA_0333 – Áthelyezési vagy újbóli hozzárendelési műveletek kezdeményezése | Manuális, Letiltva | 1.1.0 |
| Hozzáférési engedélyek módosítása a személyzeti átadáskor | CMA_0374 – Hozzáférés-engedélyek módosítása személyi átadáskor | Manuális, Letiltva | 1.1.0 |
| Értesítés a felmondásról vagy az átadásról | CMA_0381 – Értesítés a felmondásról vagy az átadásról | Manuális, Letiltva | 1.1.0 |
| A hozzáférés újraértékelése a személyzeti átadáskor | CMA_0424 – A hozzáférés újraértékelése a személyzet átadásakor | Manuális, Letiltva | 1.1.0 |
Hozzáférési szerződések
Id: NIST SP 800-53 Rev. 4 PS-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szervezeti hozzáférési szerződések dokumentálása | CMA_0192 – Szervezeti hozzáférési szerződések dokumentálása | Manuális, Letiltva | 1.1.0 |
| Viselkedési és hozzáférési szabályok kényszerítése | CMA_0248 – Viselkedési és hozzáférési szabályok kényszerítése | Manuális, Letiltva | 1.1.0 |
| Győződjön meg arról, hogy a hozzáférési szerződések aláírása vagy lemondása időben meg van írva | CMA_C1528 – Győződjön meg arról, hogy a hozzáférési megállapodások aláírása vagy lemondása időben meg van írva | Manuális, Letiltva | 1.1.0 |
| Hozzáférési szerződés aláírásának megkövetelése a felhasználóknak | CMA_0440 – Hozzáférési szerződés aláírásának megkövetelése a felhasználóknak | Manuális, Letiltva | 1.1.0 |
| Szervezeti hozzáférési szerződések frissítése | CMA_0520 – Szervezeti hozzáférési szerződések frissítése | Manuális, Letiltva | 1.1.0 |
Külső személyzet biztonsága
Id: NIST SP 800-53 Rev. 4 PS-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Külső személyzet biztonsági követelményeinek dokumentálása | CMA_C1531 – Külső személyzet biztonsági követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Külső személyzet biztonsági követelményeinek megállapítása | CMA_C1529 – Külső személyzet biztonsági követelményeinek megállapítása | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltató megfelelőségének monitorozása | CMA_C1533 – Külső szolgáltatók megfelelőségének monitorozása | Manuális, Letiltva | 1.1.0 |
| Külső személyzet áthelyezéséről vagy megszüntetéséről szóló értesítés megkövetelése | CMA_C1532 – Harmadik féltől származó személyzet áthelyezéséről vagy megszüntetéséről szóló értesítés megkövetelése | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfeleléshez | CMA_C1530 – Külső szolgáltatók megkövetelése a személyzeti biztonsági szabályzatoknak és eljárásoknak való megfelelésre | Manuális, Letiltva | 1.1.0 |
Személyzeti szankciók
Azonosító: NIST SP 800-53 Rev. 4 PS-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Formális szankciós folyamat implementálása | CMA_0317 – Formális szankciós folyamat végrehajtása | Manuális, Letiltva | 1.1.0 |
| A személyzet értesítése a szankciókról | CMA_0380 – A személyzet értesítése a szankciókról | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés
Kockázatértékelési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 RA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázatértékelési szabályzatok és eljárások áttekintése és frissítése | CMA_C1537 – Kockázatértékelési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Biztonsági kategorizálás
Azonosító: NIST SP 800-53 Rev. 4 RA-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információk kategorizálása | CMA_0052 – Információk kategorizálása | Manuális, Letiltva | 1.1.0 |
| Üzleti besorolási rendszerek fejlesztése | CMA_0155 – Üzleti besorolási rendszerek fejlesztése | Manuális, Letiltva | 1.1.0 |
| Győződjön meg arról, hogy a biztonsági kategorizálás jóvá van hagyva | CMA_C1540 – A biztonsági kategorizálás jóváhagyásának biztosítása | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Kockázatértékelés
Azonosító: NIST SP 800-53 Rev. 4 RA-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázatértékelés végrehajtása | CMA_C1543 – Kockázatértékelés elvégzése | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés elvégzése és eredményeinek terjesztése | CMA_C1544 – Kockázatértékelés elvégzése és eredményeinek terjesztése | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés elvégzése és eredményeinek dokumentálása | CMA_C1542 – Kockázatértékelés elvégzése és eredményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Kockázatértékelés végrehajtása | CMA_0388 – Kockázatértékelés végrehajtása | Manuális, Letiltva | 1.1.0 |
Biztonsági rések vizsgálata
Azonosító: NIST SP 800-53 Rev. 4 RA-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A gépeken lévő SQL-kiszolgálókon a biztonsági rések megoldásának kell lennie | Az SQL biztonsági rések felmérése biztonsági réseket keres az adatbázisban, és elérhetővé teszi az ajánlott eljárásoktól való eltéréseket, például a helytelen konfigurációkat, a túlzott engedélyeket és a nem védett bizalmas adatokat. A talált biztonsági rések megoldása nagyban javíthatja az adatbázis biztonsági helyzetét. | AuditIfNotExists, Disabled | 1.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
| A sebezhetőségi felmérést engedélyezni kell felügyelt SQL-példányon | Minden olyan felügyelt SQL-példány naplózása, amely nem rendelkezik engedélyezve az ismétlődő biztonságirés-felmérési vizsgálatokkal. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 1.0.1 |
| A sebezhetőségi felmérést engedélyezni kell az SQL-kiszolgálókon | Olyan Azure SQL-kiszolgálók naplózása, amelyeken nincs megfelelően konfigurálva a biztonságirés-felmérés. A sebezhetőségi felmérés felderítheti, nyomon követheti és kijavíthatja a lehetséges adatbázis-biztonsági réseket. | AuditIfNotExists, Disabled | 3.0.0 |
| A biztonságirés-felmérést engedélyezni kell a Synapse-munkaterületeken | A lehetséges biztonsági rések felderítése, nyomon követése és elhárítása ismétlődő SQL-sebezhetőségi felmérési vizsgálatok konfigurálásával a Synapse-munkaterületeken. | AuditIfNotExists, Disabled | 1.0.0 |
Az eszköz frissítési képessége
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Frissítés gyakoriság szerint / Az új vizsgálat előtt / ha azonosították
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Szélesség / Lefedettség mélysége
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Felderíthető információk
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Művelet végrehajtása az ügyféladatokra válaszul | CMA_C1554 – Művelet végrehajtása az ügyféladatokra válaszul | Manuális, Letiltva | 1.1.0 |
Emelt szintű hozzáférés
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt hozzáférés implementálása a biztonságirés-ellenőrzési tevékenységek végrehajtásához | CMA_C1555 – Kiemelt hozzáférés megvalósítása a biztonságirés-ellenőrzési tevékenységek végrehajtásához | Manuális, Letiltva | 1.1.0 |
Automatizált trendelemzések
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (6) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági hiányosságok megfigyelése és jelentése | CMA_0384 – Biztonsági hiányosságok megfigyelése és jelentése | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Fenyegetésmodellezés végrehajtása | CMA_0392 – Fenyegetésmodellezés végrehajtása | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Korábbi naplók áttekintése
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kiemelt függvények naplózása | CMA_0019 – Kiemelt függvények naplózása | Manuális, Letiltva | 1.1.0 |
| Felhasználói fiók állapotának naplózása | CMA_0020 – Felhasználói fiók állapotának naplózása | Manuális, Letiltva | 1.1.0 |
| Naplózási rekordok korrelációja | CMA_0087 – Naplórekordok korrelálása | Manuális, Letiltva | 1.1.0 |
| Naplózható események meghatározása | CMA_0137 – Naplózható események meghatározása | Manuális, Letiltva | 1.1.0 |
| Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | CMA_0277 – Az auditvizsgálatra és jelentéskészítésre vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Auditvizsgálat, elemzés és jelentéskészítés integrálása | CMA_0339 – Auditvizsgálat, elemzés és jelentéskészítés integrálása | Manuális, Letiltva | 1.1.0 |
| A felhőalkalmazások biztonságának integrálása siem használatával | CMA_0340 – A felhőalkalmazások biztonságának integrálása siem használatával | Manuális, Letiltva | 1.1.0 |
| Fiókkiépítési naplók áttekintése | CMA_0460 – Fiókkiépítési naplók áttekintése | Manuális, Letiltva | 1.1.0 |
| Rendszergazdai hozzárendelések heti áttekintése | CMA_0461 – Rendszergazdai feladatok heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Naplózási adatok áttekintése | CMA_0466 – Auditadatok áttekintése | Manuális, Letiltva | 1.1.0 |
| A felhő identitásjelentésének áttekintése | CMA_0468 – A felhőalapú identitásjelentés áttekintése | Manuális, Letiltva | 1.1.0 |
| Ellenőrzött mappaelérési események áttekintése | CMA_0471 – Ellenőrzött mappaelérési események áttekintése | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések elleni védelmi események áttekintése | CMA_0472 – Biztonsági rések elleni védelmi események áttekintése | Manuális, Letiltva | 1.1.0 |
| Fájl- és mappatevékenység áttekintése | CMA_0473 – Fájl- és mappatevékenység áttekintése | Manuális, Letiltva | 1.1.0 |
| Szerepkörcsoportok változásainak heti áttekintése | CMA_0476 – Szerepkörcsoportok változásainak heti áttekintése | Manuális, Letiltva | 1.1.0 |
A vizsgálati adatok korrelációja
Azonosító: NIST SP 800-53 Rev. 4 RA-5 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonságirés-vizsgálat adatainak korrelációja | CMA_C1558 – A biztonságirés-vizsgálat adatainak korrelációja | Manuális, Letiltva | 1.1.1 |
Rendszer- és szolgáltatásbeszerzés
Rendszer- és szolgáltatásbeszerzési szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 SA-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer- és szolgáltatásbeszerzési szabályzatok és eljárások áttekintése és frissítése | CMA_C1560 – Rendszer- és szolgáltatásbeszerzési szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Erőforrások lefoglalása
Azonosító: NIST SP 800-53 Rev. 4 SA-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Üzleti célkitűzések és informatikai célok összehangolása | CMA_0008 – Üzleti célok és informatikai célok összehangolása | Manuális, Letiltva | 1.1.0 |
| Erőforrások lefoglalása az információs rendszer követelményeinek meghatározásához | CMA_C1561 – Erőforrások lefoglalása az információs rendszer követelményeinek meghatározásához | Manuális, Letiltva | 1.1.0 |
| Különálló sorelem létrehozása a költségvetés-dokumentációban | CMA_C1563 – Különálló sorelem létrehozása a költségvetés-dokumentációban | Manuális, Letiltva | 1.1.0 |
| Adatvédelmi program létrehozása | CMA_0257 – Adatvédelmi program létrehozása | Manuális, Letiltva | 1.1.0 |
| Az erőforrások elosztásának szabályozása | CMA_0293 – Az erőforrások elosztásának szabályozása | Manuális, Letiltva | 1.1.0 |
| Biztonságos elkötelezettség a vezetőségtől | CMA_0489 – Biztonságos elkötelezettség a vezetőség részéről | Manuális, Letiltva | 1.1.0 |
Rendszerfejlesztési életciklus
Azonosító: NIST SP 800-53 Rev. 4 SA-3 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információbiztonsági szerepkörök és felelősségek meghatározása | CMA_C1565 – Információbiztonsági szerepkörök és felelősségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Biztonsági szerepkörrel és felelősségekkel rendelkező személyek azonosítása | CMA_C1566 – A biztonsági szerepkörrel és felelősségekkel rendelkező személyek azonosítása | Manuális, Letiltva | 1.1.1 |
| Kockázatkezelési folyamat integrálása az SDLC-be | CMA_C1567 – Kockázatkezelési folyamat integrálása az SDLC-be | Manuális, Letiltva | 1.1.0 |
Beszerzési folyamat
Azonosító: NIST SP 800-53 Rev. 4 SA-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Dokumentumbeszerzési szerződés elfogadásának feltételei | CMA_0187 – A beszerzési szerződés elfogadásának feltételei | Manuális, Letiltva | 1.1.0 |
| A személyes adatok védelme a beszerzési szerződésekben | CMA_0194 – A személyes adatok dokumentumvédelme a beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági információinak dokumentumvédelme | CMA_0195 – A beszerzési szerződések biztonsági adatainak védelme | Manuális, Letiltva | 1.1.0 |
| A megosztott adatok szerződésekben való felhasználásának dokumentumkövetelményei | CMA_0197 – A megosztott adatok szerződésekben való használatára vonatkozó dokumentumkövetelmények | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | CMA_0199 – A beszerzési szerződések biztonsági garanciára vonatkozó követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződés biztonsági dokumentációs követelményeinek dokumentálása | CMA_0200 – Dokumentumbiztonsági dokumentáció követelményei a beszerzési szerződésben | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | CMA_0201 – A beszerzési szerződések biztonsági funkcionális követelményeinek dokumentálása | Manuális, Letiltva | 1.1.0 |
| A beszerzési szerződések biztonsági erősségének követelményeinek dokumentálása | CMA_0203 – A beszerzési szerződések biztonsági erősségeire vonatkozó követelmények dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | CMA_0207 – A kártyatulajdonosi adatok védelmének dokumentálása harmadik féltől származó szerződésekben | Manuális, Letiltva | 1.1.0 |
A biztonsági vezérlők funkcionális tulajdonságai
Azonosító: NIST SP 800-53 Rev. 4 SA-4 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonsági vezérlők funkcionális tulajdonságainak beszerzése | CMA_C1575 – A biztonsági vezérlők funkcionális tulajdonságainak beszerzése | Manuális, Letiltva | 1.1.0 |
Biztonsági vezérlők tervezési/ megvalósítási információi
Azonosító: NIST SP 800-53 Rev. 4 SA-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Tervezési és megvalósítási információk beszerzése a biztonsági vezérlőkhöz | CMA_C1576 – Tervezési és megvalósítási információk beszerzése a biztonsági vezérlőkhöz | Manuális, Letiltva | 1.1.1 |
Folyamatos figyelési terv
Azonosító: NIST SP 800-53 Rev. 4 SA-4 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Folyamatos figyelési terv beszerzése a biztonsági vezérlőkhöz | CMA_C1577 – Folyamatos monitorozási terv beszerzése a biztonsági vezérlőkhöz | Manuális, Letiltva | 1.1.0 |
Függvények / Portok / Protokollok / Használatban lévő szolgáltatások
Azonosító: NIST SP 800-53 Rev. 4 SA-4 (9) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| SDLC-portok, protokollok és szolgáltatások azonosításának megkövetelése a fejlesztőtől | CMA_C1578 – SDLC-portok, protokollok és szolgáltatások azonosításának megkövetelése a fejlesztőtől | Manuális, Letiltva | 1.1.0 |
Jóváhagyott Piv-termékek használata
Azonosító: NIST SP 800-53 Rev. 4 SA-4 (10) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| FIPS 201 által jóváhagyott technológia alkalmazása a PIV-hez | CMA_C1579 – FIPS 201 által jóváhagyott technológia alkalmazása a PIV-hez | Manuális, Letiltva | 1.1.0 |
Információs rendszer dokumentációja
Azonosító: NIST SP 800-53 Rev. 4 SA-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információs rendszer dokumentációja | CMA_C1584 – Az információs rendszer dokumentációja | Manuális, Letiltva | 1.1.0 |
| Ügyfél által meghatározott műveletek dokumentálása | CMA_C1582 – Ügyfél által meghatározott műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Rendszergazdai dokumentáció beszerzése | CMA_C1580 – Rendszergazdai dokumentáció beszerzése | Manuális, Letiltva | 1.1.0 |
| Felhasználói biztonsági függvény dokumentációjának beszerzése | CMA_C1581 – A felhasználói biztonsági függvény dokumentációjának beszerzése | Manuális, Letiltva | 1.1.0 |
| Rendszergazdai és felhasználói dokumentáció védelme | CMA_C1583 – Rendszergazdai és felhasználói dokumentáció védelme | Manuális, Letiltva | 1.1.0 |
Külső információs rendszerszolgáltatások
Azonosító: NIST SP 800-53 Rev. 4 SA-9 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kormányzati felügyelet meghatározása és dokumentálása | CMA_C1587 – Kormányzati felügyelet meghatározása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Külső szolgáltatók megkövetelése a biztonsági követelményeknek való megfeleléshez | CMA_C1586 – Külső szolgáltatók megkövetelése a biztonsági követelményeknek való megfeleléshez | Manuális, Letiltva | 1.1.0 |
| A felhőszolgáltató szabályzatoknak és szerződéseknek való megfelelésének áttekintése | CMA_0469 – A felhőszolgáltató szabályzatoknak és megállapodásoknak való megfelelésének áttekintése | Manuális, Letiltva | 1.1.0 |
| Független biztonsági felülvizsgálaton megy keresztül | CMA_0515 – Független biztonsági felülvizsgálaton megy keresztül | Manuális, Letiltva | 1.1.0 |
Kockázatértékelések / Szervezeti jóváhagyások
Azonosító: NIST SP 800-53 Rev. 4 SA-9 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
| Jóváhagyások beszerzése beszerzésekhez és kiszervezéshez | CMA_C1590 – Beszerzések és kiszervezések jóváhagyásának beszerzése | Manuális, Letiltva | 1.1.0 |
Függvények / portok / protokollok / szolgáltatások azonosítása
Azonosító: NIST SP 800-53 Rev. 4 SA-9 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Külső szolgáltatók azonosítása | CMA_C1591 – Külső szolgáltatók azonosítása | Manuális, Letiltva | 1.1.0 |
A fogyasztók és szolgáltatók egységes érdekei
Azonosító: NIST SP 800-53 Rev. 4 SA-9 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Annak biztosítása, hogy a külső szolgáltatók következetesen megfeleljenek az ügyfelek érdekeinek | CMA_C1592 – Annak biztosítása, hogy a külső szolgáltatók következetesen megfeleljenek az ügyfelek érdekeinek | Manuális, Letiltva | 1.1.0 |
Feldolgozás, tárolás és szolgáltatás helye
Azonosító: NIST SP 800-53 Rev. 4 SA-9 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az adatfeldolgozás, a tárolás és a szolgáltatások helyének korlátozása | CMA_C1593 – Az adatfeldolgozás, a tárolás és a szolgáltatások helyének korlátozása | Manuális, Letiltva | 1.1.0 |
Fejlesztői konfigurációkezelés
Azonosító: NIST SP 800-53 Rev. 4 SA-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kódolási biztonsági rések kezelése | CMA_0003 – Kódolási biztonsági rések kezelése | Manuális, Letiltva | 1.1.0 |
| Alkalmazásbiztonsági követelmények kidolgozása és dokumentálása | CMA_0148 – Alkalmazásbiztonsági követelmények kidolgozása és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | CMA_0205 – Az információs rendszer környezetének dokumentálása beszerzési szerződésekben | Manuális, Letiltva | 1.1.0 |
| Biztonságos szoftverfejlesztési program létrehozása | CMA_0259 – Biztonságos szoftverfejlesztési program létrehozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A fejlesztőktől megkövetelheti, hogy dokumentálják a jóváhagyott módosításokat és a lehetséges hatásokat | CMA_C1597 – A fejlesztőktől megkövetelheti, hogy dokumentálják a jóváhagyott módosításokat és a lehetséges hatásokat | Manuális, Letiltva | 1.1.0 |
| Csak jóváhagyott módosítások implementálásának megkövetelése a fejlesztőktől | CMA_C1596 – Csak jóváhagyott módosítások implementálásának megkövetelése a fejlesztőktől | Manuális, Letiltva | 1.1.0 |
| A fejlesztők megkövetelése a változásintegritás kezeléséhez | CMA_C1595 – A fejlesztőknek a változásintegritás kezeléséhez kell megkövetelniük | Manuális, Letiltva | 1.1.0 |
Szoftver/ Belső vezérlőprogram integritásának ellenőrzése
Azonosító: NIST SP 800-53 Rev. 4 SA-10 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
Fejlesztői biztonsági tesztelés és kiértékelés
Azonosító: NIST SP 800-53 Rev. 4 SA-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| A fejlesztők megkövetelése a biztonsági felmérési terv végrehajtására vonatkozó bizonyítékok előállításához | CMA_C1602 – A fejlesztők megkövetelése a biztonsági felmérési terv végrehajtására vonatkozó bizonyítékok előállításához | Manuális, Letiltva | 1.1.0 |
Ellátási lánc védelme
Azonosító: NIST SP 800-53 Rev. 4 SA-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Kockázat felmérése harmadik fél kapcsolataiban | CMA_0014 – Kockázat felmérése harmadik fél kapcsolataiban | Manuális, Letiltva | 1.1.0 |
| Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | CMA_0126 – Az áruk és szolgáltatások nyújtására vonatkozó követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Szállítói szerződési kötelezettségek meghatározása | CMA_0140 – Szállítói szerződéses kötelezettségek meghatározása | Manuális, Letiltva | 1.1.0 |
| Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | CMA_0275 – Szabályzatok létrehozása az ellátási lánc kockázatkezeléséhez | Manuális, Letiltva | 1.1.0 |
Fejlesztési folyamat, szabványok és eszközök
Azonosító: NIST SP 800-53 Rev. 4 SA-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A fejlesztési folyamat, a szabványok és az eszközök áttekintése | CMA_C1610 – Fejlesztési folyamat, szabványok és eszközök áttekintése | Manuális, Letiltva | 1.1.0 |
Fejlesztő által biztosított képzés
Azonosító: NIST SP 800-53 Rev. 4 SA-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A fejlesztők képzésének megkövetelése | CMA_C1611 – A fejlesztők képzésének megkövetelése | Manuális, Letiltva | 1.1.0 |
Fejlesztői biztonsági architektúra és tervezés
Azonosító: NIST SP 800-53 Rev. 4 SA-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági architektúra kiépítésének megkövetelése a fejlesztőktől | CMA_C1612 – Biztonsági architektúra kiépítésének megkövetelése a fejlesztőktől | Manuális, Letiltva | 1.1.0 |
| A fejlesztők megkövetelése a pontos biztonsági funkciók leírására | CMA_C1613 – A fejlesztők megkövetelése a pontos biztonsági funkciók leírására | Manuális, Letiltva | 1.1.0 |
| Egységes biztonsági védelmi megközelítés megkövetelése a fejlesztőktől | CMA_C1614 – Egységes biztonsági védelmi megközelítés megkövetelése a fejlesztőktől | Manuális, Letiltva | 1.1.0 |
Rendszer- és kommunikációs védelem
Rendszer- és kommunikációs védelmi szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 SC-1 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszer- és kommunikációs védelmi szabályzatok és eljárások áttekintése és frissítése | CMA_C1616 – Rendszer- és kommunikációs védelmi szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Alkalmazásparticionálás
Azonosító: NIST SP 800-53 Rev. 4 SC-2 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Távelérés engedélyezése | CMA_0024 – Távelérés engedélyezése | Manuális, Letiltva | 1.1.0 |
| Felhasználó- és információsrendszer-kezelési funkciók elkülönítése | CMA_0493 – A felhasználói és információs rendszer felügyeleti funkcióinak elkülönítése | Manuális, Letiltva | 1.1.0 |
| Dedikált gépek használata felügyeleti feladatokhoz | CMA_0527 – Dedikált gépek használata rendszergazdai feladatokhoz | Manuális, Letiltva | 1.1.0 |
Biztonsági függvény elkülönítése
Azonosító: NIST SP 800-53 Rev. 4 SC-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
Szolgáltatásmegtagadás elleni védelem
Azonosító: NIST SP 800-53 Rev. 4 SC-5 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure DDoS Protection használatát | A DDoS-védelmet minden olyan alhálózattal rendelkező virtuális hálózat esetében engedélyezni kell, amely egy nyilvános IP-címmel rendelkező Application Gateway része. | AuditIfNotExists, Disabled | 3.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| DDoS-választerv fejlesztése és dokumentálása | CMA_0147 – DDoS-választerv fejlesztése és dokumentálása | Manuális, Letiltva | 1.1.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Erőforrás elérhetősége
Azonosító: NIST SP 800-53 Rev. 4 SC-6 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az erőforrások elosztásának szabályozása | CMA_0293 – Az erőforrások elosztásának szabályozása | Manuális, Letiltva | 1.1.0 |
| Rendelkezésre állás és kapacitás kezelése | CMA_0356 – A rendelkezésre állás és a kapacitás kezelése | Manuális, Letiltva | 1.1.0 |
| Biztonságos elkötelezettség a vezetőségtől | CMA_0489 – Biztonságos elkötelezettség a vezetőség részéről | Manuális, Letiltva | 1.1.0 |
Határvédelem
Azonosító: NIST SP 800-53 Rev. 4 SC-7 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.1-elavult |
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.1-elavult |
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Hozzáférési pontok
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Elavult]: Az Azure Cognitive Search szolgáltatás privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Cognitive Searchbe való leképezésével az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, letiltva | 1.0.1-elavult |
| [Elavult]: A Cognitive Servicesnek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Cognitive Services-hez való leképezésével csökkentheti az adatszivárgás lehetőségét. További információ a privát hivatkozásokról: https://go.microsoft.com/fwlink/?linkid=2129800. | Naplózás, letiltva | 3.0.1-elavult |
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: A tárfiók nyilvános hozzáférését le kell tiltani | A tárolókhoz és blobokhoz való névtelen nyilvános olvasási hozzáférés az Azure Storage-ban kényelmes módja az adatok megosztásának, de biztonsági kockázatot jelenthet. A nem kívánt névtelen hozzáférés által okozott adatsértések megelőzése érdekében a Microsoft azt javasolja, hogy tiltsa meg a tárfiókhoz való nyilvános hozzáférést, kivéve, ha az Ön forgatókönyve megköveteli. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 3.1.0-előzetes verzió |
| Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon | Az Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. | AuditIfNotExists, Disabled | 3.0.0 |
| Az API Management-szolgáltatásoknak virtuális hálózatot kell használniuk | Az Azure Virtual Network üzembe helyezése fokozott biztonságot és elkülönítést biztosít, és lehetővé teszi, hogy az API Management szolgáltatást egy nem internetes, szabályozható hálózaton helyezze el, amelyhez ön szabályozza a hozzáférést. Ezek a hálózatok ezután különböző VPN-technológiák használatával csatlakoztathatók a helyszíni hálózatokhoz, ami lehetővé teszi a háttérszolgáltatások elérését a hálózaton és/vagy a helyszínen. A fejlesztői portál és az API-átjáró úgy konfigurálható, hogy elérhető legyen az internetről vagy csak a virtuális hálózaton belül. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az alkalmazáskonfigurációnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az alkalmazáskonfigurációs példányokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Az engedélyezett IP-címtartományokat a Kubernetes Servicesben kell meghatározni | Korlátozza a Kubernetes Service Management API-hoz való hozzáférést úgy, hogy az API-hozzáférést csak adott tartományok IP-címéhez adja meg. Javasoljuk, hogy korlátozza az engedélyezett IP-tartományokhoz való hozzáférést, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a fürthöz. | Naplózás, letiltva | 2.0.1 |
| Az Azure AI Services-erőforrásoknak korlátozniuk kell a hálózati hozzáférést | A hálózati hozzáférés korlátozásával biztosítható, hogy csak az engedélyezett hálózatok férhessenek hozzá a szolgáltatáshoz. Ez úgy érhető el, hogy hálózati szabályokat konfigurál, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá az Azure AI szolgáltatáshoz. | Naplózás, megtagadás, letiltva | 3.2.0 |
| Az Azure API for FHIR-nek privát hivatkozást kell használnia | Az Azure API for FHIR-nek legalább egy jóváhagyott privát végpontkapcsolattal kell rendelkeznie. A virtuális hálózaton lévő ügyfelek biztonságosan hozzáférhetnek a privát végponttal rendelkező erőforrásokhoz privát kapcsolatokon keresztül. További információkért látogasson el a következő webhelyre: https://aka.ms/fhir-privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Cache for Redisnek privát hivatkozást kell használnia | A privát végpontok lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását nyilvános IP-cím nélkül a forrásnál vagy a célhelyen. A privát végpontok Azure Cache for Redis-példányokhoz való leképezésével az adatszivárgási kockázatok csökkennek. További információ: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás olyan termékváltozatot kell használnia, amely támogatja a privát kapcsolatot | Az Azure Cognitive Search támogatott termékváltozataival az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Search szolgáltatás való leképezésével csökken az adatszivárgás kockázata. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cognitive Search szolgáltatás-nak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása növeli a biztonságot azáltal, hogy az Azure Cognitive Search szolgáltatás nem érhető el a nyilvános interneten. Privát végpontok létrehozása korlátozhatja a Search szolgáltatás expozícióját. További információ: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak tűzfalszabályokat kell használniuk | Tűzfalszabályokat kell definiálni az Azure Cosmos DB-fiókokon, hogy megakadályozza a jogosulatlan forrásokból érkező forgalmat. A virtuális hálózati szűrővel legalább egy IP-szabvánnyal rendelkező fiókok megfelelőnek minősülnek. A nyilvános hozzáférést letiltó fiókok szintén megfelelőnek minősülnek. | Naplózás, megtagadás, letiltva | 2.1.0 |
| Az Azure Data Factorynek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Data Factorybe való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Event Grid-tartományoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-tartományhoz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure Event Grid-témaköröknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Event Grid-témakörhöz, az adatszivárgási kockázatokkal szemben is védett lesz. További információ: https://aka.ms/privateendpoints. | Naplózás, letiltva | 1.0.2 |
| Az Azure File Syncnek privát hivatkozást kell használnia | Ha privát végpontot hoz létre a megadott Storage Sync Service-erőforráshoz, akkor a társzinkronizálási szolgáltatás erőforrását a szervezet hálózatának privát IP-címteréből kezelheti, nem pedig az internetről elérhető nyilvános végponton keresztül. A privát végpont önmagában történő létrehozása nem tiltja le a nyilvános végpontot. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure Key Vaultnak engedélyeznie kell a tűzfalat | Engedélyezze a kulcstartó tűzfalát, hogy a kulcstartó alapértelmezés szerint ne legyen elérhető nyilvános IP-címek számára. Igény szerint konfigurálhat meghatározott IP-címtartományokat az adott hálózatokhoz való hozzáférés korlátozásához. További információ: https://docs.microsoft.com/azure/key-vault/general/network-security | Naplózás, megtagadás, letiltva | 3.2.1 |
| Az Azure Key Vaultsnak privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Key Vaulthoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Az Azure Machine Learning-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Machine Learning-munkaterületekre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Naplózás, letiltva | 1.0.0 |
| Az Azure Service Bus-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Service Bus-névterekhez való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Azure SignalR Szolgáltatásnak privát kapcsolatot kell használnia | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat társít az Azure SignalR-szolgáltatás erőforrásához, csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/asrs/privatelink. | Naplózás, letiltva | 1.0.0 |
| Az Azure Synapse-munkaterületeknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Synapse-munkaterületre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az Azure Web Application Firewall használatát az Azure Front Door belépési pontjaihoz | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 1.0.2 |
| Az Azure Web PubSub Service-nek privát hivatkozást kell használnia | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Azure Web PubSub Service-hez való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/awps/privatelink. | Naplózás, letiltva | 1.0.0 |
| A tárolóregisztrációs adatbázisok nem engedélyezhetik a korlátlan hálózati hozzáférést | Az Azure-tárolóregisztrációs adatbázisok alapértelmezés szerint elfogadják az interneten keresztüli kapcsolatokat bármely hálózat gazdagépeitől. Ha meg szeretné védeni a regisztrációs adatbázisokat a lehetséges fenyegetésektől, engedélyezze a hozzáférést csak meghatározott privát végpontokról, nyilvános IP-címekről vagy címtartományokból. Ha a beállításjegyzékben nincsenek hálózati szabályok konfigurálva, az nem megfelelő erőforrásokban jelenik meg. További információ a Tárolóregisztrációs adatbázis hálózati szabályairól: https://aka.ms/acr/privatelinkés https://aka.ms/acr/portal/public-network https://aka.ms/acr/vnet. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A tárolóregisztrációs adatbázisoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A privát kapcsolati platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Ha a teljes szolgáltatás helyett privát végpontokat rendel a tárolóregisztrációs adatbázisokhoz, az adatszivárgási kockázatokkal szemben is védelmet nyújt. További információ: https://aka.ms/acr/private-link. | Naplózás, letiltva | 1.0.1 |
| A CosmosDB-fiókoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok CosmosDB-fiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Naplózás, letiltva | 1.0.0 |
| A lemezelérési erőforrásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok diskAccessesre való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| Az Event Hub-névtereknek privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok Event Hub-névterekre való leképezésével csökken az adatszivárgás kockázata. További információ: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Az internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A virtuális gépek védelme a lehetséges fenyegetések ellen a hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Az IoT Hub eszközkiépítési szolgáltatáspéldányainak privát kapcsolatot kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok IoT Hub-eszközkiépítési szolgáltatáshoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/iotdpsvnet. | Naplózás, letiltva | 1.0.0 |
| Le kell tiltani az IP-továbbítást a virtuális gépen | Az IP-továbbítás engedélyezése a virtuális gép hálózati adapterén lehetővé teszi a gép számára a más célhelyekre címzett forgalom fogadását. Az IP-továbbításra ritkán van szükség (például ha a virtuális gépet hálózati virtuális berendezésként használja), ezért ezt a hálózati biztonsági csapatnak felül kell vizsgálnia. | AuditIfNotExists, Disabled | 3.0.0 |
| A virtuális gépek felügyeleti portjainak megfelelő hálózati hozzáférés-vezérléssel kell rendelkeznie | Az Azure Security Center ajánlásként figyeli a lehetséges hálózati just in time (JIT) hozzáférést | AuditIfNotExists, Disabled | 3.0.0 |
| A felügyeleti portokat be kell zárni a virtuális gépeken | A nyitott távfelügyeleti portok magas szintű kockázatot jelentenek a virtuális gép számára az internetes támadások miatt. Ezek a támadások megpróbálják találgatással kényszeríteni a hitelesítő adatokat, hogy rendszergazdai hozzáférést szerezzenek a géphez. | AuditIfNotExists, Disabled | 3.0.0 |
| A nem internetkapcsolattal rendelkező virtuális gépeket hálózati biztonsági csoportokkal kell védeni | A hálózati biztonsági csoportokkal (NSG) való hozzáférés korlátozásával megvédheti az internettel nem rendelkező virtuális gépeket a lehetséges fenyegetésektől. További információ az NSG-k forgalmának szabályozásáról: https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| Engedélyezni kell a privát végpontkapcsolatokat az Azure SQL Database-ben | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure SQL Database-hez való privát kapcsolat engedélyezésével. | Naplózás, letiltva | 1.1.0 |
| A privát végpontot engedélyezni kell MariaDB-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MariaDB-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a MySQL-kiszolgálókon | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for MySQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| A privát végpontot engedélyezni kell a PostgreSQL-kiszolgálókhoz | A privát végpontkapcsolatok biztonságos kommunikációt kényszerítenek ki az Azure Database for PostgreSQL-hez való privát kapcsolat engedélyezésével. Konfiguráljon egy privát végpontkapcsolatot, hogy csak ismert hálózatokról érkező forgalomhoz lehessen hozzáférni, és megakadályozza az összes többi IP-címhez való hozzáférést, beleértve az Azure-t is. | AuditIfNotExists, Disabled | 1.0.2 |
| Le kell tiltani a nyilvános hálózati hozzáférést az Azure SQL Database-ben | A nyilvános hálózati hozzáférési tulajdonság letiltása növeli a biztonságot azáltal, hogy biztosítja, hogy az Azure SQL Database csak privát végpontról érhető el. Ez a konfiguráció letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 1.1.0 |
| A nyilvános hálózati hozzáférést le kell tiltani MariaDB-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MariaDB csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a MySQL-kiszolgálókon | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for MySQL csak privát végpontról érhető el. Ez a konfiguráció szigorúan letiltja a hozzáférést az Azure IP-tartományán kívüli nyilvános címtérről, és letilt minden olyan bejelentkezést, amely megfelel az IP- vagy a virtuális hálózatalapú tűzfalszabályoknak. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A nyilvános hálózati hozzáférést le kell tiltani a PostgreSQL-kiszolgálók esetében | A biztonság javítása érdekében tiltsa le a nyilvános hálózati hozzáférési tulajdonságot, és győződjön meg arról, hogy az Azure Database for PostgreSQL csak privát végpontról érhető el. Ez a konfiguráció letiltja a hozzáférést az Azure IP-címtartományán kívüli bármely nyilvános címtérről, és letiltja az IP- vagy virtuális hálózatalapú tűzfalszabályoknak megfelelő összes bejelentkezést. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiókok számára korlátozni kell a hálózati hozzáférést | A tárfiókokhoz való hálózati hozzáférést korlátozni kell. Konfigurálja a hálózati szabályokat, hogy csak az engedélyezett hálózatokból származó alkalmazások férhessenek hozzá a tárfiókhoz. Az adott internetről vagy helyszíni ügyfelekről érkező kapcsolatok engedélyezéséhez hozzáférést lehet biztosítani adott Azure-beli virtuális hálózatokból vagy nyilvános internetes IP-címtartományokból érkező forgalomhoz | Naplózás, megtagadás, letiltva | 1.1.1 |
| A tárfiókok virtuális hálózati szabályokkal korlátozhatják a hálózati hozzáférést | Az IP-alapú szűrés helyett a virtuális hálózati szabályokkal védheti meg a tárfiókokat a potenciális fenyegetésektől. Az IP-alapú szűrés letiltása megakadályozza, hogy a nyilvános IP-címek hozzáférjenek a tárfiókokhoz. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárfiókok privát hivatkozást használnak | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok tárfiókhoz való leképezésével csökken az adatszivárgás kockázata. További információ a privát hivatkozásokról: https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| Az alhálózatokat hálózati biztonsági csoporthoz kell társítani | Az alhálózat védelme a lehetséges fenyegetések ellen egy hálózati biztonsági csoporttal (NSG) való hozzáférés korlátozásával. Az NSG-k a hozzáférés-vezérlési lista (ACL) szabályainak listáját tartalmazzák, amelyek engedélyezik vagy letiltják az alhálózat felé történő hálózati forgalmat. | AuditIfNotExists, Disabled | 3.0.0 |
| A VM Image Builder-sablonoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi a virtuális hálózat azure-szolgáltatásokhoz való csatlakoztatását anélkül, hogy a forrásnál vagy a célnál nyilvános IP-címmel rendelkezik. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. Azáltal, hogy privát végpontokat társít a VM Image Builder építőerőforrásaihoz, az adatszivárgási kockázatok csökkennek. További információ a privát hivatkozásokról: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
| A webalkalmazási tűzfalat (WAF) engedélyezni kell az Application Gatewayhez | Az Azure Web Application Firewall (WAF) üzembe helyezése nyilvános elérésű webalkalmazások előtt a bejövő forgalom további ellenőrzéséhez. A webalkalmazási tűzfal (WAF) központi védelmet nyújt a webalkalmazásoknak az olyan gyakori biztonsági rések és biztonsági rések ellen, mint az SQL-injektálások, a helyek közötti szkriptelés, a helyi és távoli fájlvégrehajtások. A webalkalmazásokhoz való hozzáférést országonként, IP-címtartományok és egyéb HTTP-paraméterek szerint is korlátozhatja egyéni szabályokkal. | Naplózás, megtagadás, letiltva | 2.0.0 |
Külső távközlési szolgáltatások
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felügyelt felület implementálása minden külső szolgáltatáshoz | CMA_C1626 – Felügyelt felület implementálása minden külső szolgáltatáshoz | Manuális, Letiltva | 1.1.0 |
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
| Az interfész védelme külső rendszerekhez | CMA_0491 – Az interfész védelme külső rendszerekhez | Manuális, Letiltva | 1.1.0 |
Távoli eszközök osztott bújtatásának megakadályozása
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Távoli eszközök osztott bújtatásának megakadályozása | CMA_C1632 – Távoli eszközök osztott bújtatásának megakadályozása | Manuális, Letiltva | 1.1.0 |
Forgalom átirányítása hitelesített proxykiszolgálókra
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (8) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Forgalom irányítása hitelesített proxyhálózaton keresztül | CMA_C1633 – Forgalom irányítása hitelesített proxyhálózaton keresztül | Manuális, Letiltva | 1.1.0 |
Gazdagépalapú védelem
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (12) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
A biztonsági eszközök elkülönítése / Mechanizmusok / Támogatási összetevők
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (13) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| SecurID-rendszerek elkülönítése, biztonsági incidenskezelési rendszerek | CMA_C1636 – SecurID-rendszerek, biztonsági incidenskezelési rendszerek elkülönítése | Manuális, Letiltva | 1.1.0 |
Feladat biztonságossá tétele
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (18) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
| A készenléti és az aktív rendszerösszetevők közötti átvitelek kezelése | CMA_0371 – A készenléti és az aktív rendszerösszetevők közötti átvitel kezelése | Manuális, Letiltva | 1.1.0 |
Dinamikus elkülönítés/elkülönítés
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (20) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az erőforrások dinamikus elkülönítésére képes rendszer biztosítása | CMA_C1638 – Az erőforrások dinamikus elkülönítésére képes rendszer biztosítása | Manuális, Letiltva | 1.1.0 |
Az információs rendszer összetevőinek elkülönítése
Azonosító: NIST SP 800-53 Rev. 4 SC-7 (21) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Határvédelem alkalmazása az információs rendszerek elkülönítéséhez | CMA_C1639 – Határvédelem alkalmazása az információs rendszerek elkülönítéséhez | Manuális, Letiltva | 1.1.0 |
Továbbítási bizalmasság és integritás
Azonosító: NIST SP 800-53 Rev. 4 SC-8 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához | Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Jelszavak védelme titkosítással | CMA_0408 – Jelszavak védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Titkosítási vagy alternatív fizikai védelem
Azonosító: NIST SP 800-53 Rev. 4 SC-8 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
| Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure HDInsight-fürtöknek átvitel közben titkosítást kell használniuk az Azure HDInsight-fürtcsomópontok közötti kommunikáció titkosításához | Az adatok az Azure HDInsight-fürtcsomópontok közötti átvitel során módosíthatók. A titkosítás engedélyezése az átvitel során a nem rendeltetésszerű használattal és illetéktelen módosítással kapcsolatos problémákat oldja meg. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Engedélyezni kell az SSL-kapcsolatot a MySQL-adatbáziskiszolgálók esetében | Az Azure Database for MySQL támogatja az Azure Database for MySQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| Engedélyezni kell az SSL-kapcsolatot a PostgreSQL-adatbáziskiszolgálókon | Az Azure Database for PostgreSQL támogatja az Azure Database for PostgreSQL-kiszolgáló csatlakoztatását az ügyfélalkalmazásokhoz a Secure Sockets Layer (SSL) használatával. Az adatbázis-kiszolgáló és az ügyfélalkalmazások közötti SSL-kapcsolatok kényszerítése a kiszolgáló és az alkalmazás közötti adatfolyam titkosításával segít védelmet nyújtani a "középen lévő ember" támadások ellen. Ez a konfiguráció kikényszeríti, hogy az SSL mindig engedélyezve legyen az adatbázis-kiszolgáló eléréséhez. | Naplózás, letiltva | 1.0.1 |
| A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
| A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
| A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
| A Kubernetes-fürtök csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a hitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. Ez a funkció jelenleg általánosan elérhető a Kubernetes Service (AKS) és az Azure Arc-kompatibilis Kubernetes előzetes verziójában. További információkért látogasson el a https://aka.ms/kubepolicydoc | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 8.2.0 |
| Csak az Azure Cache for Redis biztonságos kapcsolatait kell engedélyezni | Csak SSL-kapcsolat engedélyezésének naplózása az Azure Cache for Redishez. A biztonságos kapcsolatok használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitel alatt álló adatokat a hálózati réteg támadásaitól, például az emberközi, a lehallgatási és a munkamenet-eltérítési támadásoktól | Naplózás, megtagadás, letiltva | 1.0.0 |
| Engedélyezni kell a tárfiókokba való biztonságos átvitelt | A tárfiók biztonságos átvitelének naplózási követelménye. A biztonságos átvitel egy olyan lehetőség, amely arra kényszeríti a tárfiókot, hogy csak biztonságos kapcsolatokból (HTTPS) fogadja el a kéréseket. A HTTPS használata biztosítja a kiszolgáló és a szolgáltatás közötti hitelesítést, és védi az átvitt adatokat a hálózati réteg támadásaitól, például a középen belüli behatolástól, a lehallgatástól és a munkamenet-eltérítéstől | Naplózás, megtagadás, letiltva | 2.0.0 |
| A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni | Az interneten keresztül kommunikáló adatok védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll legújabb verzióját, a Transport Layer Securityt (TLS) kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. | AuditIfNotExists, Disabled | 4.1.1 |
Hálózati kapcsolat bontása
Azonosító: NIST SP 800-53 Rev. 4 SC-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Felhasználói munkamenet ismételt hitelesítése vagy leállása | CMA_0421 – Felhasználói munkamenet újbóli hitelesítése vagy leállása | Manuális, Letiltva | 1.1.0 |
Titkosítási kulcs létrehozása és kezelése
Azonosító: NIST SP 800-53 Rev. 4 SC-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az Azure Recovery Services-tárolóknak ügyfél által felügyelt kulcsokat kell használniuk a biztonsági mentési adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a biztonsági mentési adatok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/AB-CmkEncryption. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| [Előzetes verzió]: Az IoT Hub eszközkiépítési szolgáltatásának adatait ügyfél által felügyelt kulcsokkal (CMK) kell titkosítani | Az ügyfél által felügyelt kulcsok használatával kezelheti a titkosítást az IoT Hub-eszközkiépítési szolgáltatás többi részén. Az adatok automatikusan titkosítva vannak inaktív állapotban szolgáltatás által felügyelt kulcsokkal, de az ügyfél által felügyelt kulcsokra (CMK) általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. A CMK-k lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. További információ a CMK-titkosításról: https://aka.ms/dps/CMK. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
| Az Azure AI Services-erőforrásoknak inaktív állapotban kell titkosítaniuk az adatokat egy ügyfél által felügyelt kulccsal (CMK) | Az ügyfél által felügyelt kulcsok használata az inaktív adatok titkosításához nagyobb ellenőrzést biztosít a kulcs életciklusa felett, beleértve a rotációt és a felügyeletet is. Ez különösen fontos a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetek számára. Ez alapértelmezés szerint nem értékelhető, és csak akkor alkalmazható, ha a megfelelőségi vagy korlátozó szabályzati követelmények megkövetelik. Ha nincs engedélyezve, az adatok platform által felügyelt kulcsokkal lesznek titkosítva. Ennek implementálásához frissítse az "Effektus" paramétert a biztonsági szabályzatban az alkalmazandó hatókörhöz. | Naplózás, megtagadás, letiltva | 2.2.0 |
| Az Azure API for FHIR-nek ügyfél által felügyelt kulccsal kell titkosítania az inaktív adatokat | Az ügyfél által kezelt kulccsal szabályozhatja a titkosítást az Azure API for FHIR-ben tárolt többi adatnál, ha ez egy szabályozási vagy megfelelőségi követelmény. Az ügyfél által felügyelt kulcsok dupla titkosítást is biztosítanak, ha egy második titkosítási réteget ad hozzá a szolgáltatás által felügyelt kulcsokkal végzett alapértelmezett titkosítási réteghez. | naplózás, naplózás, letiltva, Letiltva | 1.1.0 |
| Az Azure Automation-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Automation-fiókok többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/automation-cmk. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Batch-fióknak ügyfél által felügyelt kulcsokat kell használnia az adatok titkosításához | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a Batch-fiók adatainak többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/Batch-CMK. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure Container Instance tárolócsoportjának ügyfél által felügyelt kulcsot kell használnia a titkosításhoz | Az ügyfél által felügyelt kulcsokkal nagyobb rugalmassággal védheti a tárolókat. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
| Az Azure Cosmos DB-fiókoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Cosmos DB többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/cosmosdb-cmk. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak egy ügyfél által felügyelt kulccsal kell titkosítaniuk az eszköz feloldási jelszavát | Ügyfél által felügyelt kulccsal szabályozhatja az eszköz feloldási jelszavának titkosítását az Azure Data Boxhoz. Az ügyfél által felügyelt kulcsok a Data Box szolgáltatás által az eszköz feloldási jelszavához való hozzáférést is kezelik az eszköz előkészítése és az adatok automatikus másolása érdekében. Az eszközön lévő adatok már inaktív állapotban vannak titkosítva az Advanced Encryption Standard 256 bites titkosítással, és az eszköz feloldási jelszava alapértelmezés szerint egy Microsoft által felügyelt kulccsal van titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Data Explorer inaktív titkosításának ügyfél által felügyelt kulcsot kell használnia | Ha az Azure Data Explorer-fürtön ügyfél által felügyelt kulccsal engedélyezi a inaktív titkosítást, további vezérlést biztosít a titkosítás által használt inaktív kulcs felett. Ez a funkció gyakran speciális megfelelőségi követelményekkel rendelkező ügyfelekre vonatkozik, és kulcstartóra van szükség a kulcsok kezeléséhez. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure-adatgyárakat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure Data Factory többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/adf-cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure HDInsight-fürtöknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást az Azure HDInsight-fürtök többi részén. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/hdi.cmk. | Naplózás, megtagadás, letiltva | 1.0.1 |
| Az Azure HDInsight-fürtöknek titkosítást kell használniuk a gazdagépen az inaktív adatok titkosításához | A gazdagépen történő titkosítás engedélyezése segít megvédeni és védeni az adatokat, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezi a titkosítást a gazdagépen, a virtuálisgép-gazdagépen tárolt adatok inaktív állapotban lesznek titkosítva, és a Storage szolgáltatásba titkosított folyamatok lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Machine Learning-munkaterületeket ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Machine Learning-munkaterület többi adatának titkosítása ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/azureml-workspaces-cmk. | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Monitor-naplófürtöket ügyfél által felügyelt kulccsal kell titkosítani | Azure Monitor-naplófürt létrehozása ügyfél által felügyelt kulcsok titkosításával. Alapértelmezés szerint a naplóadatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsok általában szükségesek a jogszabályi megfelelőség teljesítéséhez. Az Azure Monitor ügyfél által felügyelt kulcsa nagyobb mértékben szabályozhatja az adatokhoz való hozzáférést, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stream Analytics-feladatoknak ügyfél által felügyelt kulcsokat kell használniuk az adatok titkosításához | Az ügyfél által felügyelt kulcsokat akkor használja, ha biztonságosan szeretné tárolni a Stream Analytics-feladatok metaadatait és privát adategységeit a tárfiókban. Így teljes mértékben szabályozhatja a Stream Analytics-adatok titkosítását. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Synapse-munkaterületeknek ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal szabályozhatja a titkosítást az Azure Synapse-munkaterületeken tárolt többi adatnál. Az ügyfél által felügyelt kulcsok dupla titkosítást biztosítanak, ha egy második titkosítási réteget ad hozzá az alapértelmezett titkosításhoz a szolgáltatás által felügyelt kulcsokkal. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A Bot Service-t ügyfél által felügyelt kulccsal kell titkosítani | Az Azure Bot Service automatikusan titkosítja az erőforrást az adatok védelme és a szervezeti biztonsági és megfelelőségi kötelezettségek teljesítése érdekében. Alapértelmezés szerint a Microsoft által felügyelt titkosítási kulcsokat használja a rendszer. A kulcsok kezelésének vagy az előfizetéshez való hozzáférés szabályozásának nagyobb rugalmassága érdekében válassza ki az ügyfél által felügyelt kulcsokat, más néven saját kulcsot (BYOK). További információ az Azure Bot Service titkosításáról: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Kubernetes Service-fürtök operációs rendszereit és adatlemezeit is ügyfél által felügyelt kulcsokkal kell titkosítani | Az operációs rendszer és az adatlemezek ügyfél által felügyelt kulcsok használatával történő titkosítása nagyobb vezérlést és nagyobb rugalmasságot biztosít a kulcskezelésben. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| A tárolóregisztrációs adatbázisokat ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a regisztrációs adatbázisok többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/acr/CMK. | Naplózás, megtagadás, letiltva | 1.1.2 |
| Fizikai kulcskezelési folyamat definiálása | CMA_0115 – Fizikai kulcskezelési folyamat definiálása | Manuális, Letiltva | 1.1.0 |
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
| A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | CMA_0123 – A titkosítási kulcsok kezelésével kapcsolatos szervezeti követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| A helyességi követelmények meghatározása | CMA_0136 – A helyességi követelmények meghatározása | Manuális, Letiltva | 1.1.0 |
| Az Event Hub-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Event Hubs támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi az Event Hub által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy az Event Hub csak a dedikált fürtök névtereinek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
| A HPC Cache-fiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure HPC Cache többi részén lévő titkosítás kezelése ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
| A Logic Apps integrációs szolgáltatási környezetét ügyfél által felügyelt kulcsokkal kell titkosítani | Üzembe helyezés az Integrációs szolgáltatás környezetében a Logic Apps-adatok titkosításának felügyeletéhez ügyfél által felügyelt kulcsokkal. Alapértelmezés szerint az ügyféladatok szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Szimmetrikus titkosítási kulcsok kezelése | CMA_0367 – Szimmetrikus titkosítási kulcsok kezelése | Manuális, Letiltva | 1.1.0 |
| A felügyelt lemezeket a platform által felügyelt és az ügyfél által felügyelt kulcsokkal is duplán kell titkosítani | A magas biztonsági szempontból érzékeny ügyfelek, akik aggódnak az adott titkosítási algoritmussal, implementációval vagy kulcssal kapcsolatos kockázat miatt, további titkosítási réteget választhatnak egy másik titkosítási algoritmus/mód használatával az infrastruktúrarétegen platform által felügyelt titkosítási kulcsok használatával. A lemeztitkosítási csoportoknak kettős titkosítást kell használniuk. További információ: https://aka.ms/disks-doubleEncryption. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A MySQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a MySQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| Az operációs rendszert és az adatlemezeket ügyfél által felügyelt kulccsal kell titkosítani | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a felügyelt lemezek többi részén. Alapértelmezés szerint az adatok inaktív állapotban, platform által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ: https://aka.ms/disks-cmk. | Naplózás, megtagadás, letiltva | 3.0.0 |
| A PostgreSQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | Az ügyfél által felügyelt kulcsokkal kezelheti a titkosítást a PostgreSQL-kiszolgálók többi részén. Alapértelmezés szerint az adatok inaktív állapotban, szolgáltatás által felügyelt kulcsokkal vannak titkosítva, de az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőségi szabványoknak való megfeleléshez. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását az Ön által létrehozott és birtokolt Azure Key Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. | AuditIfNotExists, Disabled | 1.0.4 |
| A titkos kulcsokhoz való hozzáférés korlátozása | CMA_0445 – A titkos kulcsokhoz való hozzáférés korlátozása | Manuális, Letiltva | 1.1.0 |
| Az Azure Monitorban mentett lekérdezéseket a naplók titkosításához az ügyfél tárfiókjába kell menteni | Tárfiók csatolása a Log Analytics-munkaterülethez a mentett lekérdezések tárfiók-titkosítással történő védelme érdekében. Az ügyfél által felügyelt kulcsokra általában szükség van a jogszabályi megfelelőség teljesítéséhez és a mentett lekérdezések Azure Monitorban való hozzáférésének nagyobb mértékű ellenőrzéséhez. A fentiekkel kapcsolatos további részletekért lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A Service Bus Premium-névtereknek ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | Az Azure Service Bus támogatja az inaktív adatok Microsoft által felügyelt kulcsokkal (alapértelmezett) vagy ügyfél által felügyelt kulcsokkal történő titkosítását. Az ügyfél által felügyelt kulcsok használatával történő adattitkosítás lehetővé teszi a Service Bus által a névtérben lévő adatok titkosításához használt kulcsokhoz való hozzáférés hozzárendelését, elforgatását, letiltását és visszavonását. Vegye figyelembe, hogy a Service Bus csak a prémium szintű névterek ügyfél által felügyelt kulcsaival támogatja a titkosítást. | Naplózás, letiltva | 1.0.0 |
| A felügyelt SQL-példányoknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít egy HSM által támogatott külső szolgáltatással, valamint a feladatok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Az SQL-kiszolgálóknak ügyfél által felügyelt kulcsokkal kell titkosítaniuk az inaktív adatokat | A transzparens adattitkosítás (TDE) saját kulccsal történő implementálása nagyobb átláthatóságot és ellenőrzést biztosít a TDE Protector felett, nagyobb biztonságot biztosít a HSM által támogatott külső szolgáltatásokkal, valamint a vámok elkülönítésének előmozdítását. Ez a javaslat a kapcsolódó megfelelőségi követelményekkel rendelkező szervezetekre vonatkozik. | Naplózás, megtagadás, letiltva | 2.0.1 |
| A tárfiók titkosítási hatóköreinek az ügyfél által felügyelt kulcsokat kell használniuk az inaktív adatok titkosításához | Az ügyfél által kezelt kulcsokkal kezelheti a titkosítást a tárfiók titkosítási hatóköreinek többi részén. Az ügyfél által felügyelt kulcsok lehetővé teszik az adatok titkosítását egy Ön által létrehozott és birtokolt Azure Key-Vault-kulccsal. Teljes körűen felügyelheti és felügyelheti a kulcsfontosságú életciklust, beleértve a rotációt és a felügyeletet is. További információ a tárfiókok titkosítási hatóköreiről: https://aka.ms/encryption-scopes-overview. | Naplózás, megtagadás, letiltva | 1.0.0 |
| A tárfiókoknak ügyfél által felügyelt kulcsot kell használniuk a titkosításhoz | A blob- és fájltárolási fiók védelme nagyobb rugalmassággal az ügyfél által felügyelt kulcsok használatával. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. Az ügyfél által felügyelt kulcsok további képességeket biztosítanak a kulcstitkosítási kulcs forgatásának vagy az adatok kriptográfiai törlésének szabályozásához. | Naplózás, letiltva | 1.0.3 |
Elérhetőség
Azonosító: NIST SP 800-53 Rev. 4 SC-12 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az információk rendelkezésre állásának fenntartása | CMA_C1644 – Az információk rendelkezésre állásának fenntartása | Manuális, Letiltva | 1.1.0 |
Szimmetrikus kulcsok
Azonosító: NIST SP 800-53 Rev. 4 SC-12 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szimmetrikus titkosítási kulcsok létrehozása, vezérlése és elosztása | CMA_C1645 – Szimmetrikus titkosítási kulcsok létrehozása, vezérlése és elosztása | Manuális, Letiltva | 1.1.0 |
Aszimmetrikus kulcsok
Azonosító: NIST SP 800-53 Rev. 4 SC-12 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Aszimmetrikus titkosítási kulcsok előállítása, vezérlése és terjesztése | CMA_C1646 – Aszimmetrikus titkosítási kulcsok létrehozása, vezérlése és terjesztése | Manuális, Letiltva | 1.1.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 4 SC-13 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Titkosítási használat definiálása | CMA_0120 – Titkosítási használat meghatározása | Manuális, Letiltva | 1.1.0 |
Együttműködésen alapuló számítástechnikai eszközök
Azonosító: NIST SP 800-53 Rev. 4 SC-15 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése | CMA_C1649 – Az együttműködésen alapuló számítástechnikai eszközök használatának explicit értesítése | Manuális, Letiltva | 1.1.1 |
| Együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása | CMA_C1648 – Az együttműködésen alapuló számítástechnikai eszközök távoli aktiválásának tiltása | Manuális, Letiltva | 1.1.0 |
Nyilvános kulcsú infrastruktúratanúsítványok
Azonosító: NIST SP 800-53 Rev. 4 SC-17 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nyilvános kulcsú tanúsítványok kiállítása | CMA_0347 – Nyilvános kulcsú tanúsítványok kiállítása | Manuális, Letiltva | 1.1.0 |
Mobilkód
Azonosító: NIST SP 800-53 Rev. 4 SC-18 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása | CMA_C1653 – Mobilkód-technológiák használatának engedélyezése, monitorozása és szabályozása | Manuális, Letiltva | 1.1.0 |
| Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása | CMA_C1651 – Elfogadható és elfogadhatatlan mobilkód-technológiák meghatározása | Manuális, Letiltva | 1.1.0 |
| Használati korlátozások létrehozása mobilkód-technológiákhoz | CMA_C1652 – Használati korlátozások létrehozása mobilkód-technológiákhoz | Manuális, Letiltva | 1.1.0 |
Voice Over Internet Protocol
Azonosító: NIST SP 800-53 Rev. 4 SC-19 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Voip engedélyezése, monitorozása és vezérlése | CMA_0025 – A voip engedélyezése, monitorozása és vezérlése | Manuális, Letiltva | 1.1.0 |
| Voip-használati korlátozások létrehozása | CMA_0280 – Voip-használati korlátozások létrehozása | Manuális, Letiltva | 1.1.0 |
Biztonságos név/címfeloldási szolgáltatás (mérvadó forrás)
Azonosító: NIST SP 800-53 Rev. 4 SC-20 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hibatűrő név-/címszolgáltatás implementálása | CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása | Manuális, Letiltva | 1.1.0 |
| Biztonságos név- és címfeloldási szolgáltatások biztosítása | CMA_0416 – Biztonságos név- és címfeloldási szolgáltatások biztosítása | Manuális, Letiltva | 1.1.0 |
Biztonságos név/címfeloldási szolgáltatás (Rekurzív vagy gyorsítótárazási feloldó)
Azonosító: NIST SP 800-53 Rev. 4 SC-21 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hibatűrő név-/címszolgáltatás implementálása | CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása | Manuális, Letiltva | 1.1.0 |
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
Architektúra és kiépítés a név-/címfeloldási szolgáltatáshoz
Azonosító: NIST SP 800-53 Rev. 4 SC-22 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hibatűrő név-/címszolgáltatás implementálása | CMA_0305 – Hibatűrő név-/címszolgáltatás implementálása | Manuális, Letiltva | 1.1.0 |
Munkamenet-hitelesség
Azonosító: NIST SP 800-53 Rev. 4 SC-23 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | CMA_0073 – Munkaállomások konfigurálása digitális tanúsítványok ellenőrzésére | Manuális, Letiltva | 1.1.0 |
| Véletlenszerű egyedi munkamenet-azonosítók kényszerítése | CMA_0247 – Véletlenszerű egyedi munkamenet-azonosítók kényszerítése | Manuális, Letiltva | 1.1.0 |
Munkamenet-azonosítók érvénytelenítése kijelentkezéskor
Azonosító: NIST SP 800-53 Rev. 4 SC-23 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Munkamenet-azonosítók érvénytelenítése kijelentkezéskor | CMA_C1661 – Munkamenet-azonosítók érvénytelenítése a kijelentkezéskor | Manuális, Letiltva | 1.1.0 |
Sikertelenség ismert állapotban
Azonosító: NIST SP 800-53 Rev. 4 SC-24 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Győződjön meg arról, hogy az információs rendszer ismert állapotban meghiúsul | CMA_C1662 – Győződjön meg arról, hogy az információs rendszer ismert állapotban meghiúsul | Manuális, Letiltva | 1.1.0 |
Az inaktív adatok védelme
Azonosító: NIST SP 800-53 Rev. 4 SC-28 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk | Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Adatszivárgás-kezelési eljárás létrehozása | CMA_0255 – Adatszivárgás-kezelési eljárás létrehozása | Manuális, Letiltva | 1.1.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| Speciális információk védelme | CMA_0409 – Speciális információk védelme | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
Titkosítási védelem
Azonosító: NIST SP 800-53 Rev. 4 SC-28 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
| Az Automation-fiók változóit titkosítani kell | Fontos engedélyezni az Automation-fiók változó eszközeinek titkosítását bizalmas adatok tárolásakor | Naplózás, megtagadás, letiltva | 1.1.0 |
| Az Azure Data Box-feladatoknak engedélyeznie kell az eszközön inaktív adatok dupla titkosítását | Engedélyezze a szoftveralapú titkosítás második rétegét az eszközön inaktív adatokhoz. Az eszköz már az Advanced Encryption Standard 256 bites titkosítással van védve az inaktív adatokhoz. Ez a beállítás hozzáad egy második adattitkosítási réteget. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Monitor Naplófürtöket úgy kell létrehozni, hogy engedélyezve legyen az infrastruktúra-titkosítás (dupla titkosítás) | Annak érdekében, hogy a biztonságos adattitkosítás szolgáltatásszinten és infrastruktúraszinten engedélyezve legyen két különböző titkosítási algoritmussal és két különböző kulcssal, használjon dedikált Azure Monitor-fürtöt. Ez a beállítás alapértelmezés szerint engedélyezve van, ha a régióban támogatott, lásd https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview: . | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| Az Azure Stack Edge-eszközöknek kettős titkosítást kell használniuk | Az eszközön lévő inaktív adatok védelméhez győződjön meg arról, hogy az adatok duplán titkosítva vannak, az adatokhoz való hozzáférés szabályozva van, és az eszköz inaktiválása után az adatok biztonságosan törlődnek az adatlemezekről. A kettős titkosítás két titkosítási réteg használata: BitLocker XTS-AES 256 bites titkosítás az adatkötetek és a merevlemezek beépített titkosítása. További információ az adott Stack Edge-eszköz biztonsági áttekintési dokumentációjában. | naplózás, Naplózás, megtagadás, Megtagadás, Letiltás, Letiltva, Letiltva | 1.1.0 |
| A lemeztitkosítást engedélyezni kell az Azure Data Explorerben | A lemeztitkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. | Naplózás, megtagadás, letiltva | 2.0.0 |
| A dupla titkosítást engedélyezni kell az Azure Data Explorerben | A kettős titkosítás engedélyezése segít az adatok védelmében és védelmében, hogy megfeleljen a szervezeti biztonsági és megfelelőségi követelményeknek. Ha engedélyezve van a kettős titkosítás, a tárfiók adatai kétszer, egyszer a szolgáltatás szintjén, egyszer pedig az infrastruktúra szintjén vannak titkosítva két különböző titkosítási algoritmus és két különböző kulcs használatával. | Naplózás, megtagadás, letiltva | 2.0.0 |
| Vezérlők implementálása az összes adathordozó védelméhez | CMA_0314 – Vezérlők implementálása az összes adathordozó védelméhez | Manuális, Letiltva | 1.1.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for MySQL-kiszolgálókon | Az Azure Database for MySQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsok használatával. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az infrastruktúra-titkosítást engedélyezni kell az Azure Database for PostgreSQL-kiszolgálókon | Az Azure Database for PostgreSQL-kiszolgálók infrastruktúra-titkosításának engedélyezése magasabb szintű biztonságot nyújt az adatok biztonságossá tételéhez. Ha az infrastruktúra titkosítása engedélyezve van, a rendszer kétszer titkosítja a inaktív adatokat a FIPS 140-2-kompatibilis Microsoft által kezelt kulcsokkal | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az átvitel alatt lévő adatok védelme titkosítással | CMA_0403 – Adattovábbítási adatok védelme titkosítással | Manuális, Letiltva | 1.1.0 |
| A Service Fabric-fürtöknél a ClusterProtectionLevel tulajdonságnak EncryptAndSign értékűnek kell lennie | A Service Fabric három szintű védelmet (None, Sign és EncryptAndSign) biztosít a csomópontok közötti kommunikációhoz egy elsődleges fürttanúsítvány használatával. Állítsa be a védelmi szintet úgy, hogy az összes csomópont–csomópont üzenet titkosítva és digitálisan aláírva legyen | Naplózás, megtagadás, letiltva | 1.1.0 |
| A tárfiókoknak infrastruktúra-titkosítással kell rendelkezniük | Engedélyezze az infrastruktúra-titkosítást az adatok biztonságának magasabb szintű biztosításához. Ha az infrastruktúra titkosítása engedélyezve van, a tárfiókban lévő adatok kétszer lesznek titkosítva. | Naplózás, megtagadás, letiltva | 1.0.0 |
| Az Azure Kubernetes Service-fürtök ügynökcsomópont-készleteinek ideiglenes lemezeit és gyorsítótárát a gazdagépen kell titkosítani | Az adatbiztonság javítása érdekében az Azure Kubernetes Service-csomópontok virtuális gépén (VM) tárolt adatokat inaktív állapotban kell titkosítani. Ez számos szabályozási és iparági megfelelőségi szabványban gyakori követelmény. | Naplózás, megtagadás, letiltva | 1.0.1 |
| transzparens adattitkosítás az SQL-adatbázisokon engedélyezni kell | A transzparens adattitkosítást engedélyezni kell az inaktív adatok védelme és a megfelelőségi követelmények teljesítése érdekében | AuditIfNotExists, Disabled | 2.0.0 |
| A virtuális gépeknek és a virtuálisgép-méretezési csoportoknak engedélyezniük kell a titkosítást a gazdagépen | A gazdagép titkosításának használatával végpontok közötti titkosítást kaphat a virtuális gép és a virtuálisgép-méretezési csoport adataihoz. A gazdagép titkosítása lehetővé teszi az ideiglenes lemez és operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban történő titkosítását. Az ideiglenes és rövid élettartamú operációsrendszer-lemezek platform által felügyelt kulcsokkal vannak titkosítva, amikor a gazdagépen engedélyezve van a titkosítás. Az operációsrendszer-/adatlemez-gyorsítótárak inaktív állapotban, ügyfél által felügyelt vagy platform által felügyelt kulccsal vannak titkosítva, a lemezen kiválasztott titkosítási típustól függően. További információ: https://aka.ms/vm-hbe. | Naplózás, megtagadás, letiltva | 1.0.0 |
Folyamatelkülönítés
Azonosító: NIST SP 800-53 Rev. 4 SC-39 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Különálló végrehajtási tartományok karbantartása folyamatok futtatásához | CMA_C1665 – Különálló végrehajtási tartományok fenntartása folyamatok futtatásához | Manuális, Letiltva | 1.1.0 |
Rendszer- és információintegritás
Rendszer- és információintegritási szabályzat és eljárások
Azonosító: NIST SP 800-53 Rev. 4 SI-1 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Információintegritási szabályzatok és eljárások áttekintése és frissítése | CMA_C1667 – Információintegritási szabályzatok és eljárások áttekintése és frissítése | Manuális, Letiltva | 1.1.0 |
Hiba szervizelése
Azonosító: NIST SP 800-53 Rev. 4 SI-2 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken | A virtuális gépeket naplózva észleli, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Az Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. | AuditIfNotExists, Disabled | 3.0.0 |
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| Hibaelhárítás beépítése a konfigurációkezelésbe | CMA_C1671 – Hibaelhárítás beépítése a konfigurációkezelésbe | Manuális, Letiltva | 1.1.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
| Az SQL-adatbázisok sebezhetőségi megállapításait meg kell oldani | A sebezhetőségi felmérés eredményeinek és az adatbázis biztonsági réseinek elhárítására vonatkozó javaslatok figyelése. | AuditIfNotExists, Disabled | 4.1.0 |
| A virtuálisgép-méretezési csoportok rendszerfrissítéseit telepíteni kell | Naplózza az esetleges hiányzó biztonsági rendszerfrissítéseket és kulcsfontosságú frissítéseket, amelyeket telepíteni kell, hogy Windows és Linux rendszerű virtuálisgép-méretezési csoportjai biztonságban legyenek. | AuditIfNotExists, Disabled | 3.0.0 |
| A rendszerfrissítéseket telepíteni kell a gépekre | A kiszolgálók hiányzó biztonsági rendszerfrissítéseit az Azure Security Center ajánlásként figyeli | AuditIfNotExists, Disabled | 4.0.0 |
| A gépek biztonsági konfigurációjának biztonsági réseit orvosolni kell | Az Azure Security Center javaslatként figyeli a konfigurált alapkonfigurációnak nem megfelelő kiszolgálókat | AuditIfNotExists, Disabled | 3.1.0 |
Automatikus hibajavító állapot
Azonosító: NIST SP 800-53 Rev. 4 SI-2 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hibák szervizelésének automatizálása | CMA_0027 – Hibák szervizelésének automatizálása | Manuális, Letiltva | 1.1.0 |
| Az információs rendszer hibáinak elhárítása | CMA_0427 – Az információs rendszer hibáinak elhárítása | Manuális, Letiltva | 1.1.0 |
Hibák szervizelésének ideje / Korrekciós műveletek teljesítménymutatói
Azonosító: NIST SP 800-53 Rev. 4 SI-2 (3) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Teljesítménymutatók létrehozása a hibák szervizeléséhez | CMA_C1675 – Teljesítménymutatók létrehozása a hibák szervizeléséhez | Manuális, Letiltva | 1.1.0 |
| A hibák azonosítása és a hibák szervizelése közötti idő mérése | CMA_C1674 – A hibák azonosítása és a hibák szervizelése közötti idő mérése | Manuális, Letiltva | 1.1.0 |
A szoftver/belső vezérlőprogram korábbi verzióinak eltávolítása
Azonosító: NIST SP 800-53 Rev. 4 SI-2 (6) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
| A Kubernetes-szolgáltatásokat nem sebezhető Kubernetes-verzióra kell frissíteni | Frissítse a Kubernetes-szolgáltatásfürtöt egy későbbi Kubernetes-verzióra, hogy megvédje az aktuális Kubernetes-verzió ismert biztonsági réseit. A CVE-2019-9946 biztonsági rés ki lett javítva a Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ és 1.14.0+ verziójában | Naplózás, letiltva | 1.0.2 |
Rosszindulatú kódvédelem
Azonosító: NIST SP 800-53 Rev. 4 SI-3 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Veszélyforrások elleni védelem állapotának heti áttekintése | CMA_0479 – A veszélyforrások elleni védelem állapotának heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
Központi felügyelet
Azonosító: NIST SP 800-53 Rev. 4 SI-3 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
Automatikus frissítések
Azonosító: NIST SP 800-53 Rev. 4 SI-3 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
Nem aláírásalapú észlelés
Azonosító: NIST SP 800-53 Rev. 4 SI-3 (7) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | CMA_0050 – Usb-ről futó nem megbízható és nem aláírt folyamatok letiltása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági rések vizsgálata | CMA_0393 – Biztonsági rések vizsgálata | Manuális, Letiltva | 1.1.0 |
| Kártevőészlelési jelentés heti áttekintése | CMA_0475 – Kártevőészlelési jelentések heti áttekintése | Manuális, Letiltva | 1.1.0 |
| Víruskereső-definíciók frissítése | CMA_0517 – Víruskereső-definíciók frissítése | Manuális, Letiltva | 1.1.0 |
Információs rendszer monitorozása
Azonosító: NIST SP 800-53 Rev. 4 SI-4 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| [Előzetes verzió]: Az összes internetes forgalmat az üzembe helyezett Azure Firewallon keresztül kell irányítani | Az Azure Security Center megállapította, hogy egyes alhálózatok nem védettek egy következő generációs tűzfallal. Az alhálózatok védelme a lehetséges fenyegetések ellen az Azure Firewall vagy egy támogatott következő generációs tűzfal használatával történő hozzáférés korlátozásával | AuditIfNotExists, Disabled | 3.0.0-előzetes verzió |
| [Előzetes verzió]: Az Azure Arc-kompatibilis Kubernetes-fürtöknek telepítve kell lenniük Felhőhöz készült Microsoft Defender bővítménynek | Felhőhöz készült Microsoft Defender Azure Arc-bővítmény fenyegetésvédelmet biztosít az Arc-kompatibilis Kubernetes-fürtök számára. A bővítmény adatokat gyűjt a fürt összes csomópontjáról, és elküldi azokat a felhőbeli Azure Defender for Kubernetes-háttérrendszernek további elemzés céljából. További információ: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Linux Azure Arc-gépekre | Ez a szabályzat naplózza a Linux Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A Log Analytics-bővítményt telepíteni kell a Windows Azure Arc-gépekre | Ez a szabályzat naplózza a Windows Azure Arc-gépeket, ha a Log Analytics-bővítmény nincs telepítve. | AuditIfNotExists, Disabled | 1.0.1-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| [Előzetes verzió]: A hálózati adatgyűjtő ügynököt windowsos virtuális gépekre kell telepíteni | A Security Center a Microsoft Dependency-ügynökkel gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat engedélyezzen, mint a hálózati térképen látható forgalomvizualizáció, a hálózatmegerősítési javaslatok és az adott hálózati fenyegetések. | AuditIfNotExists, Disabled | 1.0.2-előzetes verzió |
| Engedélyezni kell az Azure Defender for App Service-t | Az Azure Defender for App Service a felhő skáláját és az Azure felhőszolgáltatói láthatóságát használja a gyakori webalkalmazás-támadások figyeléséhez. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Azure SQL Database-kiszolgálókat | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Engedélyezni kell az Azure Defender for Key Vaultot | Az Azure Defender for Key Vault további védelmi és biztonságiintelligencia-réteget biztosít a Key Vault-fiókok elérésére vagy kihasználására tett szokatlan és potenciálisan káros kísérletek észlelésével. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell az Azure Defender for Resource Managert | Az Azure Defender for Resource Manager automatikusan figyeli a szervezet erőforrás-kezelési műveleteit. Az Azure Defender észleli a gyanús tevékenységekkel kapcsolatos fenyegetéseket és riasztásokat. További információ az Azure Defender for Resource Manager képességeiről a következő címen https://aka.ms/defender-for-resource-manager : . Az Azure Defender-csomag engedélyezése díjakat eredményez. A Security Center díjszabási oldalán megismerheti a régiónkénti díjszabás részleteit: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a gépeken futó SQL-kiszolgálókhoz készült Azure Defendert | Az Azure Defender for SQL lehetővé teszi az adatbázisok lehetséges biztonsági réseinek feltárását és enyhítését, az SQL-adatbázisok fenyegetéseit jelző rendellenes tevékenységek észlelését, valamint a bizalmas adatok felderítését és besorolását. | AuditIfNotExists, Disabled | 1.0.2 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett Azure SQL-kiszolgálókon | SQL-kiszolgálók naplózása speciális adatbiztonság nélkül | AuditIfNotExists, Disabled | 2.0.1 |
| Az Azure Defender for SQL-t engedélyezni kell a nem védett felügyelt SQL-példányokhoz | Minden felügyelt SQL-példány naplózása speciális adatbiztonság nélkül. | AuditIfNotExists, Disabled | 1.0.2 |
| A vendégkonfigurációs bővítményt telepíteni kell a gépekre | A gép vendégbeállításainak biztonságos konfigurálásához telepítse a Vendégkonfiguráció bővítményt. A bővítményfigyelők vendégbeállításai közé tartozik az operációs rendszer konfigurációja, az alkalmazáskonfiguráció vagy a jelenlét, valamint a környezeti beállítások. A telepítést követően a vendégen belüli szabályzatok elérhetővé válnak, például a "Windows Exploit Guard engedélyezve kell lennie". További információ: https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Engedélyezni kell a Microsoft Defender for Containers szolgáltatást | A Microsoft Defender for Containers az Azure-beli, hibrid és többfelhős Kubernetes-környezetekhez biztosít megkeményedési, sebezhetőségi felmérési és futásidejű védelmet. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezni kell a Microsoft Defender for Storage használatát | A Microsoft Defender for Storage észleli a tárfiókokat fenyegető potenciális fenyegetéseket. Segít megelőzni az adatokra és számítási feladatokra gyakorolt három fő hatást: rosszindulatú fájlfeltöltéseket, bizalmas adatok kiszivárgását és adatsérülést. Az új Defender for Storage csomag tartalmazza a kártevők vizsgálatát és a bizalmas adatfenyegetések észlelését. Ez a csomag kiszámítható díjszabási struktúrát is biztosít (tárfiókonként) a lefedettség és a költségek szabályozásához. | AuditIfNotExists, Disabled | 1.0.0 |
| Engedélyezve kell lennie a Network Watchernek | A Network Watcher egy regionális szolgáltatás, amely lehetővé teszi a feltételek monitorozását és diagnosztizálása hálózati forgatókönyvek szintjén az Azure-ban és az Azure-ban. A forgatókönyvszintű monitorozás lehetővé teszi a problémák diagnosztizálására a végpontok közötti hálózati szintű nézetben. Minden régióban létre kell hozni egy network watcher erőforráscsoportot, ahol virtuális hálózat található. A riasztás akkor engedélyezve van, ha egy hálózati figyelő erőforráscsoportja nem érhető el egy adott régióban. | AuditIfNotExists, Disabled | 3.0.0 |
| Jogi vélemény beszerzése a rendszertevékenységek monitorozásához | CMA_C1688 – Jogi vélemény beszerzése a rendszertevékenységek monitorozásához | Manuális, Letiltva | 1.1.0 |
| Trendelemzés végrehajtása fenyegetéseken | CMA_0389 – Trendelemzés végrehajtása a fenyegetésekről | Manuális, Letiltva | 1.1.0 |
| Monitorozási információk megadása szükség szerint | CMA_C1689 – Szükség esetén monitorozási információk megadása | Manuális, Letiltva | 1.1.0 |
| A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni | A Vendégkonfiguráció bővítményhez rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs hozzárendelve a rendszer által hozzárendelt felügyelt identitás. További információ: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
Automatizált eszközök valós idejű elemzéshez
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (2) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági műveletek dokumentálása | CMA_0202 – Biztonsági műveletek dokumentálása | Manuális, Letiltva | 1.1.0 |
| Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | CMA_0514 – Érzékelők bekapcsolása végpontbiztonsági megoldáshoz | Manuális, Letiltva | 1.1.0 |
Bejövő és kimenő kommunikációs forgalom
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (4) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Voip engedélyezése, monitorozása és vezérlése | CMA_0025 – A voip engedélyezése, monitorozása és vezérlése | Manuális, Letiltva | 1.1.0 |
| Rendszerhatárvédelem implementálása | CMA_0328 – Rendszerhatárvédelem megvalósítása | Manuális, Letiltva | 1.1.0 |
| Átjárók kezelése | CMA_0363 – Átjárók kezelése | Manuális, Letiltva | 1.1.0 |
| Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül | CMA_0484 – Forgalom irányítása felügyelt hálózati hozzáférési pontokon keresztül | Manuális, Letiltva | 1.1.0 |
Rendszer által generált riasztások
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Riasztási személyzet az információk kiömlése miatt | CMA_0007 – Az információk kiömlésének riasztása | Manuális, Letiltva | 1.1.0 |
| Incidenskezelési terv kidolgozása | CMA_0145 – Incidenskezelési terv kidolgozása | Manuális, Letiltva | 1.1.0 |
| Automatikus értesítések beállítása új és trendi felhőalkalmazásokhoz a szervezetben | CMA_0495 – Automatikus értesítések beállítása új és népszerű felhőalkalmazásokhoz a szervezetben | Manuális, Letiltva | 1.1.0 |
Automatikus riasztások
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (12) Tulajdonjog: Ügyfél
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell a magas súlyosságú riasztások e-mailes értesítését | Ha gondoskodni szeretne arról, hogy a szervezet megfelelő tagjai értesítést kapnak, amikor biztonsági incidens történik az egyik előfizetésében, engedélyezze az e-mailes értesítéseket a Security Centerben a nagy súlyosságú riasztásokhoz. | AuditIfNotExists, Disabled | 1.2.0 |
| Engedélyezni kell az előfizetés tulajdonosának küldött e-mail-értesítést a nagy súlyosságú riasztások esetén | Annak biztosítása érdekében, hogy az előfizetés tulajdonosai értesítést kapnak arról, ha biztonsági incidens áll fenn az előfizetésükben, állítson be e-mail-értesítéseket az előfizetés-tulajdonosoknak a Security Center nagy súlyosságú riasztásaihoz. | AuditIfNotExists, Disabled | 2.1.0 |
| Az előfizetéseknek rendelkezniük kell egy kapcsolattartási e-mail-címmel biztonsági problémák esetén | Ha gondoskodni szeretne arról, hogy a szervezet érintett tagjai értesítést kapjanak, amikor biztonsági incidens lép fel az egyik előfizetésében, állítson be egy biztonsági kapcsolattartót, hogy e-mail-értesítéseket kapjon a Security Centertől. | AuditIfNotExists, Disabled | 1.0.1 |
Vezeték nélküli behatolás észlelése
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (14) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Vezeték nélküli hozzáférés biztonsági vezérlőinek dokumentálása | CMA_C1695 – A vezeték nélküli hozzáférés biztonsági vezérlőinek dokumentálása | Manuális, Letiltva | 1.1.0 |
Jogosulatlan hálózati szolgáltatások
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (22) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | CMA_C1700 – Nem engedélyezett vagy jóváhagyott hálózati szolgáltatások észlelése | Manuális, Letiltva | 1.1.0 |
A biztonsági rések mutatói
Azonosító: NIST SP 800-53 Rev. 4 SI-4 (24) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| A biztonsági rések bármilyen jelzésének felderítése | CMA_C1702 – A biztonsági rések bármilyen jelzésének felderítése | Manuális, Letiltva | 1.1.0 |
Biztonsági riasztások, tanácsadások és irányelvek
Azonosító: NIST SP 800-53 Rev. 4 SI-5 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Biztonsági riasztások terjesztése a személyzet számára | CMA_C1705 – Biztonsági riasztások terjesztése a személyzet számára | Manuális, Letiltva | 1.1.0 |
| Fenyegetésfelderítési program létrehozása | CMA_0260 – Fenyegetésfelderítési program létrehozása | Manuális, Letiltva | 1.1.0 |
| Belső biztonsági riasztások létrehozása | CMA_C1704 – Belső biztonsági riasztások létrehozása | Manuális, Letiltva | 1.1.0 |
| Biztonsági irányelvek implementálása | CMA_C1706 – Biztonsági irányelvek végrehajtása | Manuális, Letiltva | 1.1.0 |
Automatizált riasztások és tanácsadások
Azonosító: NIST SP 800-53 Rev. 4 SI-5 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Automatikus mechanizmusok használata biztonsági riasztásokhoz | CMA_C1707 – Automatikus mechanizmusok használata biztonsági riasztásokhoz | Manuális, Letiltva | 1.1.0 |
Biztonsági függvény ellenőrzése
Azonosító: NIST SP 800-53 Rev. 4 SI-6 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Alternatív műveletek létrehozása azonosított anomáliákhoz | CMA_C1711 – Alternatív műveletek létrehozása azonosított anomáliákhoz | Manuális, Letiltva | 1.1.0 |
| Értesítse a személyzetet a sikertelen biztonsági ellenőrző tesztekről | CMA_C1710 – A személyzet értesítése a sikertelen biztonsági ellenőrző tesztekről | Manuális, Letiltva | 1.1.0 |
| Biztonsági függvény ellenőrzése meghatározott gyakorisággal | CMA_C1709 – Biztonsági függvény ellenőrzése meghatározott gyakorisággal | Manuális, Letiltva | 1.1.0 |
| Biztonsági függvények ellenőrzése | CMA_C1708 – Biztonsági függvények ellenőrzése | Manuális, Letiltva | 1.1.0 |
Szoftver, belső vezérlőprogram és információintegritás
Azonosító: NIST SP 800-53 Rev. 4 SI-7 Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
Integritás-ellenőrzések
Azonosító: NIST SP 800-53 Rev. 4 SI-7 (1) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Szoftver, belső vezérlőprogram és információ integritásának ellenőrzése | CMA_0542 – A szoftver, a belső vezérlőprogram és az információ integritásának ellenőrzése | Manuális, Letiltva | 1.1.0 |
| Rendszerdiagnosztikai adatok megtekintése és konfigurálása | CMA_0544 – Rendszerdiagnosztikai adatok megtekintése és konfigurálása | Manuális, Letiltva | 1.1.0 |
Automatikus válasz integritási szabálysértésekre
Azonosító: NIST SP 800-53 Rev. 4 SI-7 (5) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Automatikus leállítás/újraindítás alkalmazása szabálysértések észlelésekor | CMA_C1715 – Automatikus leállítás/újraindítás alkalmazása szabálysértések észlelésekor | Manuális, Letiltva | 1.1.0 |
Bináris vagy gépi végrehajtható kód
Azonosító: NIST SP 800-53 Rev. 4 SI-7 (14) Tulajdonjog: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Bináris/gép által végrehajtható kód tiltása | CMA_C1717 – Bináris/gép által végrehajtható kód tiltása | Manuális, Letiltva | 1.1.0 |
Információbevitel ellenőrzése
Azonosító: NIST SP 800-53 Rev. 4 SI-10 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Adatbeviteli ellenőrzés végrehajtása | CMA_C1723 – Adatbeviteli ellenőrzés végrehajtása | Manuális, Letiltva | 1.1.0 |
Hibakezelés
Azonosító: NIST SP 800-53 Rev. 4 SI-11 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Hibaüzenetek létrehozása | CMA_C1724 – Hibaüzenetek létrehozása | Manuális, Letiltva | 1.1.0 |
| Hibaüzenetek megjelenítése | CMA_C1725 – Hibaüzenetek megjelenítése | Manuális, Letiltva | 1.1.0 |
Információkezelés és -megőrzés
Azonosító: NIST SP 800-53 Rev. 4 SI-12 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Fizikai hozzáférés szabályozása | CMA_0081 – Fizikai hozzáférés szabályozása | Manuális, Letiltva | 1.1.0 |
| Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | CMA_0369 – Az adatok bemenetének, kimenetének, feldolgozásának és tárolásának kezelése | Manuális, Letiltva | 1.1.0 |
| Címketevékenység és -elemzés áttekintése | CMA_0474 – Címketevékenység és -elemzés áttekintése | Manuális, Letiltva | 1.1.0 |
Memóriavédelem
Azonosító: NIST SP 800-53 Rev. 4 SI-16 Tulajdonos: Megosztott
| Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
|---|---|---|---|
| Engedélyezni kell az Azure Defendert a kiszolgálókhoz | A kiszolgálókhoz készült Azure Defender valós idejű fenyegetésvédelmet biztosít a kiszolgálói számítási feladatokhoz, és keményítési javaslatokat és riasztásokat hoz létre a gyanús tevékenységekről. | AuditIfNotExists, Disabled | 1.0.3 |
| A Windows Defender Exploit Guardot engedélyezni kell a gépeken | A Windows Defender Exploit Guard az Azure Policy vendégkonfigurációs ügynökét használja. Az Exploit Guard négy olyan összetevővel rendelkezik, amelyek az eszközök különböző támadási vektorokkal szembeni zárolására és a kártevők elleni támadásokban gyakran használt viselkedés blokkolására szolgálnak, miközben lehetővé teszik a vállalatok számára a biztonsági kockázat és a termelékenységi követelmények egyensúlyba helyezését (csak Windows rendszeren). | AuditIfNotExists, Disabled | 2.0.0 |
Következő lépések
További cikkek az Azure Policyról:
- A jogszabályi megfelelőség áttekintése.
- Tekintse meg a kezdeményezés definíciós struktúráját.
- Tekintse át az Azure Policy-minták egyéb példáit.
- A Szabályzatok hatásainak ismertetése.
- Megtudhatja, hogyan orvosolhatja a nem megfelelő erőforrásokat.