Megosztás a következőn keresztül:


Az Azure biztonsági alapkonfigurációja Virtual Machines – Windows Virtual Machines

Ez a biztonsági alapkonfiguráció a Microsoft felhőalapú biztonsági teljesítményteszt 1.0-s verziójának útmutatását alkalmazza a Virtual Machines – Windows Virtual Machines. A Microsoft felhőbiztonsági teljesítménytesztje javaslatokat nyújt arra, hogyan védheti meg felhőmegoldásait az Azure-ban. A tartalom a Microsoft felhőbiztonsági teljesítménytesztje által meghatározott biztonsági vezérlők és a Virtual Machines – Windows Virtual Machines vonatkozó útmutató alapján van csoportosítva.

Ezt a biztonsági alapkonfigurációt és a hozzá tartozó javaslatokat a felhőhöz készült Microsoft Defender használatával figyelheti. Azure Policy definíciók a felhőportál Microsoft Defender lapJának Jogszabályi megfelelőség szakaszában lesznek felsorolva.

Ha egy szolgáltatás releváns Azure Policy definíciókkal rendelkezik, ezek szerepelnek az alapkonfigurációban, így mérheti a Microsoft felhőalapú biztonsági teljesítménytesztjének vezérlőinek és javaslatainak való megfelelést. Egyes javaslatokhoz bizonyos biztonsági forgatókönyvek engedélyezéséhez fizetős Microsoft Defender csomagra lehet szükség.

Megjegyzés

A Virtual Machines nem alkalmazható funkciók – a Windows Virtual Machines ki lettek zárva. A Virtual Machines – A Windows Virtual Machines teljesen megfelel a Microsoft felhőbiztonsági teljesítménytesztjének, tekintse meg a teljes Virtual Machines – Windows Virtual Machines biztonsági alapkonfiguráció-leképezési fájlt.

Biztonsági profil

A biztonsági profil összefoglalja a Virtual Machines – Windows Virtual Machines nagy hatású viselkedését, ami fokozott biztonsági szempontokat eredményezhet.

Szolgáltatás viselkedési attribútuma Érték
Product Category (Termék kategóriája) Compute
Az ügyfél hozzáférhet a GAZDAGÉPhez/operációs rendszerhez Teljes hozzáférés
A szolgáltatás üzembe helyezhető az ügyfél virtuális hálózatában Igaz
Az ügyféltartalmakat inaktív állapotban tárolja Igaz

Hálózati biztonság

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Hálózati biztonság.

NS-1: Hálózati szegmentálási határok létrehozása

Funkciók

Virtuális hálózat integrációja

Leírás: A szolgáltatás támogatja az ügyfél privát Virtual Network (VNet) való üzembe helyezését. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Virtuális hálózatok és virtuális gépek az Azure-ban

Hálózati biztonsági csoport támogatása

Leírás: A szolgáltatás hálózati forgalma tiszteletben tartja a hálózati biztonsági csoportok szabály-hozzárendelését az alhálózatokon. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Hálózati biztonsági csoportok (NSG) használatával korlátozhatja vagy figyelheti a forgalmat port, protokoll, forrás IP-cím vagy cél IP-cím alapján. Hozzon létre NSG-szabályokat a szolgáltatás nyitott portjainak korlátozásához (például a felügyeleti portok nem megbízható hálózatokról való elérésének megakadályozásához). Vegye figyelembe, hogy az NSG-k alapértelmezés szerint megtagadják az összes bejövő forgalmat, de engedélyezik a virtuális hálózatról és az Azure Load Balancerekből érkező forgalmat.

Azure-beli virtuális gép (VM) létrehozásakor létre kell hoznia egy virtuális hálózatot, vagy egy meglévő virtuális hálózatot kell használnia, és alhálózattal kell konfigurálnia a virtuális gépet. Győződjön meg arról, hogy az összes üzembe helyezett alhálózaton egy hálózati biztonsági csoport van alkalmazva, amely az alkalmazásokra vonatkozó, megbízható portokra és forrásokra vonatkozó hálózati hozzáférés-vezérléssel rendelkezik.

Referencia: Hálózati biztonsági csoportok

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Minden hálózati portot korlátozni kell a virtuális géphez társított hálózati biztonsági csoportokon Azure Security Center megállapította, hogy a hálózati biztonsági csoportok bejövő szabályai túl megengedőek. A bejövő szabályok nem engedélyezhetik a hozzáférést az "Any" vagy az "Internet" tartományokból. Ez lehetővé teheti, hogy a támadók megcélzhassák az erőforrásokat. AuditIfNotExists, Letiltva 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Adaptív hálózatmegerősítési javaslatokat kell alkalmazni az internetkapcsolattal rendelkező virtuális gépekre Azure Security Center elemzi az internetkapcsolattal rendelkező virtuális gépek forgalmi mintáit, és olyan hálózati biztonsági csoportszabály-javaslatokat nyújt, amelyek csökkentik a lehetséges támadási felületet AuditIfNotExists, Letiltva 3.0.0

NS-2: Felhőszolgáltatások védelme hálózati vezérlőkkel

Funkciók

Nyilvános hálózati hozzáférés letiltása

Leírás: A szolgáltatás támogatja a nyilvános hálózati hozzáférés letiltását szolgáltatásszintű IP ACL-szűrési szabály (nem NSG vagy Azure Firewall) vagy a "Nyilvános hálózati hozzáférés letiltása" kapcsolóval. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A nyilvános hozzáférés letiltásához használjon operációsrendszer-szintű szolgáltatásokat, például Windows Defender tűzfalat a hálózati szűrés biztosításához.

Identitáskezelés

További információ: A Microsoft felhőalapú biztonsági teljesítménytesztje: Identitáskezelés.

IM-1: Központosított identitás- és hitelesítési rendszer használata

Funkciók

Azure AD adatsík-hozzáféréshez szükséges hitelesítés

Leírás: A szolgáltatás támogatja Azure AD hitelesítés használatát az adatsík-hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az adatsík-hozzáférés vezérléséhez használja az Azure Active Directoryt (Azure AD) alapértelmezett hitelesítési módszerként.

Referencia: Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a jelszó nélküli Azure AD használatával

Helyi hitelesítési módszerek az adatsík-hozzáféréshez

Leírás: Az adatsík-hozzáféréshez támogatott helyi hitelesítési módszerek, például egy helyi felhasználónév és jelszó. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Szolgáltatás megjegyzései: A rendszer alapértelmezés szerint helyi rendszergazdai fiókot hoz létre a virtuális gép kezdeti telepítése során. Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ahol csak lehetséges, ezeket le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

IM-3: Alkalmazásidentitások biztonságos és automatikus kezelése

Funkciók

Felügyelt identitások

Leírás: Az adatsíkműveletek támogatják a felügyelt identitásokkal történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A felügyelt identitást általában a Windows rendszerű virtuális gép használja más szolgáltatások hitelesítéséhez. Ha a Windows rendszerű virtuális gép támogatja Azure AD hitelesítést, akkor a felügyelt identitás támogatott lehet.

Konfigurációs útmutató: Ha lehetséges, szolgáltatásnevek helyett azure-beli felügyelt identitásokat használjon, amelyek hitelesíthetők az Azure Active Directory-hitelesítést támogató Azure-szolgáltatásokban és -erőforrásokban (Azure AD). A felügyelt identitás hitelesítő adatait a platform teljes mértékben felügyeli, elforgatja és védi, elkerülve a forráskódban vagy konfigurációs fájlokban található, nehezen kódolt hitelesítő adatokat.

Egyszerű szolgáltatások

Leírás: Az adatsík támogatja a szolgáltatásnevek használatával történő hitelesítést. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatás megjegyzései: A windowsos virtuális gépen futó alkalmazások szolgáltatásneveket használhatnak.

Konfigurációs útmutató: Ehhez a funkciókonfigurációhoz nincs a Microsoft aktuális útmutatója. Tekintse át, és állapítsa meg, hogy a szervezet konfigurálni szeretné-e ezt a biztonsági funkciót.

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépek vendégkonfigurációs bővítményét rendszer által hozzárendelt felügyelt identitással kell üzembe helyezni A Vendégkonfiguráció bővítményhez egy rendszer által hozzárendelt felügyelt identitás szükséges. A szabályzat hatálya alá tartozó Azure-beli virtuális gépek nem lesznek kompatibilisek, ha telepítve van a Vendégkonfiguráció bővítmény, de nincs rendszer által hozzárendelt felügyelt identitásuk. További információ: https://aka.ms/gcpol AuditIfNotExists, Letiltva 1.0.1

IM-7: Az erőforrás-hozzáférés korlátozása feltételek alapján

Funkciók

Feltételes hozzáférés adatsíkhoz

Leírás: Az adatsík-hozzáférés Azure AD feltételes hozzáférési szabályzatokkal szabályozható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A Azure AD alapvető hitelesítési platformként használhatja az RDP-t a Windows Server 2019 Datacenter kiadásában és újabb verzióiban, vagy Windows 10 1809-ben és újabb verziókban. Ezután központilag szabályozhatja és kényszerítheti az Azure szerepköralapú hozzáférés-vezérlését (RBAC) és a feltételes hozzáférési szabályzatokat, amelyek engedélyezik vagy megtagadják a virtuális gépekhez való hozzáférést.

Konfigurációs útmutató: Határozza meg az Azure Active Directory (Azure AD) feltételes hozzáférésének megfelelő feltételeket és feltételeket a számítási feladatban. Fontolja meg az olyan gyakori használati eseteket, mint a hozzáférés letiltása vagy biztosítása adott helyekről, a kockázatos bejelentkezési viselkedés blokkolása vagy a szervezet által felügyelt eszközök megkövetelése adott alkalmazásokhoz.

Referencia: Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a jelszó nélküli Azure AD használatával

IM-8: A hitelesítő adatok és titkos kódok kitettségének korlátozása

Funkciók

A szolgáltatás hitelesítő adatai és titkos kódjai támogatják az integrációt és a tárolást az Azure Key Vault

Leírás: Az adatsík támogatja az Azure Key Vault hitelesítő adatok és titkos kódok tárolására való natív használatát. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Az adatsíkon vagy az operációs rendszeren belül a szolgáltatások meghívhatják az Azure Key Vault hitelesítő adatokat vagy titkos kulcsokat.

Konfigurációs útmutató: Győződjön meg arról, hogy a titkos kódok és a hitelesítő adatok biztonságos helyeken, például az Azure Key Vault vannak tárolva, ahelyett, hogy kódba vagy konfigurációs fájlokba ágyazza őket.

Emelt szintű hozzáférés

További információt a Microsoft felhőalapú biztonsági teljesítménytesztje: Privileged access (Emelt szintű hozzáférés) című témakörben talál.

PA-1: A kiemelt jogosultsággal rendelkező/rendszergazdai felhasználók elkülönítése és korlátozása

Funkciók

Helyi Rendszergazda fiókok

Leírás: A szolgáltatás egy helyi rendszergazdai fiók fogalmával rendelkezik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkciójegyzetek: Kerülje a helyi hitelesítési módszerek vagy fiókok használatát, ezeket lehetőség szerint le kell tiltani. Ehelyett használja a Azure AD a hitelesítéshez, ahol csak lehetséges.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Rövid útmutató: Windows rendszerű virtuális gép létrehozása a Azure Portal

PA-7: Kövesse a megfelelő adminisztrációs (minimális jogosultsági) elvet

Funkciók

Azure RBAC adatsíkhoz

Leírás: Az Azure Role-Based Access Control (Azure RBAC) használható a szolgáltatás adatsík-műveleteihez való felügyelt hozzáféréshez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A Azure AD alapvető hitelesítési platformként használhatja az RDP-t a Windows Server 2019 Datacenter kiadásában és újabb verzióiban, vagy Windows 10 1809-Windows 10 újabb verziókban. Ezután központilag szabályozhatja és kényszerítheti az Azure szerepköralapú hozzáférés-vezérlését (RBAC) és a feltételes hozzáférési szabályzatokat, amelyek engedélyezik vagy megtagadják a virtuális gépekhez való hozzáférést.

Konfigurációs útmutató: Az RBAC használatával adja meg, hogy ki jelentkezhet be a virtuális gépre normál felhasználóként vagy rendszergazdai jogosultságokkal. Amikor a felhasználók csatlakoznak a csapathoz, frissítheti a virtuális gép Azure RBAC-szabályzatát, hogy a megfelelő hozzáférést biztosítsa. Amikor az alkalmazottak elhagyják a szervezetet, és a felhasználói fiókjuk le van tiltva vagy törlődik Azure AD, többé nem férhetnek hozzá az erőforrásokhoz.

Referencia: Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban Azure AD használatával, beleértve a jelszó nélkülit is

PA-8: A felhőszolgáltatói támogatás hozzáférési folyamatának meghatározása

Funkciók

Ügyfélszéf

Leírás: Az Ügyfélszéf használható a Microsoft támogatási hozzáféréséhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Olyan támogatási forgatókönyvekben, ahol a Microsoftnak hozzá kell férnie az ön adataihoz, az Ügyfélszéf segítségével tekintse át, majd hagyja jóvá vagy utasítsa el a Microsoft adathozzáférési kéréseit.

Adatvédelem

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Adatvédelem.

DP-1: Bizalmas adatok felderítése, besorolása és címkézése

Funkciók

Bizalmas adatok felderítése és besorolása

Leírás: Az eszközök (például az Azure Purview vagy az Azure Information Protection) a szolgáltatásban történő adatfelderítéshez és -besoroláshoz használhatók. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-2: Bizalmas adatokat célzó rendellenességek és fenyegetések monitorozása

Funkciók

Adatszivárgás/veszteségmegelőzés

Leírás: A szolgáltatás támogatja a DLP-megoldást a bizalmas adatok áthelyezésének monitorozásához (az ügyfél tartalmában). További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

DP-3: Bizalmas adatok titkosítása átvitel közben

Funkciók

Adatok átviteltitkosítás közben

Leírás: A szolgáltatás támogatja az adatsík átvitel közbeni titkosítását. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: Bizonyos kommunikációs protokollok, például az SSH alapértelmezés szerint titkosítva vannak. Más szolgáltatásokat, például a HTTP-t azonban úgy kell konfigurálni, hogy TLS-t használjon a titkosításhoz.

Konfigurációs útmutató: Engedélyezze a biztonságos átvitelt olyan szolgáltatásokban, amelyekbe beépített natív adattitkosítási funkció van beépítve. A HTTPS kényszerítése minden webalkalmazáson és szolgáltatáson, valamint a TLS 1.2-s vagy újabb verziójának használata. Az olyan régebbi verziókat, mint az SSL 3.0, a TLS 1.0-s verzióját le kell tiltani. A Virtual Machines távfelügyeletéhez titkosítás nélküli protokoll helyett használjon SSH-t (Linuxhoz) vagy RDP-t/TLS-t (Windows esetén).

Referencia: Átvitel közbeni titkosítás virtuális gépeken

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A Windows rendszerű gépeket biztonságos kommunikációs protokollok használatára kell konfigurálni Az interneten keresztül közölt információk védelméhez a gépeknek az iparági szabványnak megfelelő titkosítási protokoll, a Transport Layer Security (TLS) legújabb verzióját kell használniuk. A TLS a gépek közötti kapcsolat titkosításával biztosítja a hálózaton keresztüli kommunikációt. AuditIfNotExists, Disabled 4.1.1

DP-4: Az inaktív adatok titkosításának engedélyezése alapértelmezés szerint

Funkciók

Inaktív adatok titkosítása platformkulcsokkal

Leírás: Az inaktív adatok platformkulcsokkal történő titkosítása támogatott, az inaktív ügyféltartalmak titkosítása ezekkel a Microsoft által felügyelt kulcsokkal történik. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Igaz Microsoft

Funkció megjegyzései: A felügyelt lemezek alapértelmezés szerint platform által felügyelt titkosítási kulcsokat használnak. A meglévő felügyelt lemezekre írt felügyelt lemezek, pillanatképek, képek és adatok automatikusan titkosítva vannak inaktív állapotban platform által felügyelt kulcsokkal.

Konfigurációs útmutató: Nincs szükség további konfigurációkra, mivel ez engedélyezve van egy alapértelmezett üzemelő példányon.

Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása – Platform által felügyelt kulcsok

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeknek titkosítaniuk kell az ideiglenes lemezeket, a gyorsítótárakat és az adatfolyamokat a számítási és tárolási erőforrások között Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal. Az ideiglenes lemezek, az adatgyorsítótárak és a számítási és tárolási adatok nincsenek titkosítva. Hagyja figyelmen kívül ezt a javaslatot, ha: 1. titkosítást használ a gazdagépen, vagy 2. Managed Disks kiszolgálóoldali titkosítás megfelel a biztonsági követelményeknek. További információ: Az Azure Disk Storage kiszolgálóoldali titkosítása: https://aka.ms/disksse, Különböző lemeztitkosítási ajánlatok: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A Linux rendszerű virtuális gépeknek engedélyeznie kell az Azure Disk Encryptiont vagy a EncryptionAtHostot. Alapértelmezés szerint a virtuális gép operációs rendszere és adatlemezei inaktív állapotban vannak titkosítva platform által felügyelt kulcsokkal; Az ideiglenes lemezek és az adatgyorsítótárak nincsenek titkosítva, és az adatok nincsenek titkosítva a számítási és tárolási erőforrások között. Az Összes adat titkosítása az Azure Disk Encryption vagy a EncryptionAtHost használatával. Látogasson el https://aka.ms/diskencryptioncomparison a titkosítási ajánlatok összehasonlításához. Ehhez a szabályzathoz két előfeltételt kell telepíteni a szabályzat-hozzárendelési hatókörben. További részletekért lásd: https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.2.0-preview

DP-5: Szükség esetén használja az ügyfél által felügyelt kulcs lehetőséget az inaktív adatok titkosításában

Funkciók

Inaktív adatok titkosítása CMK használatával

Leírás: Az inaktív adatok ügyfél által felügyelt kulcsokat használó titkosítása a szolgáltatás által tárolt ügyféltartalmak esetében támogatott. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkciójegyzetek: A titkosítást az egyes felügyelt lemezek szintjén, saját kulcsokkal kezelheti. Felhasználó által kezelt kulcs megadásakor a megadott kulccsal védi és szabályozza az adatokat titkosító kulcs hozzáférését. A felhasználó által kezelt kulcsokkal rugalmasabban kezelhető a hozzáférés-vezérlés.

Konfigurációs útmutató: Ha a jogszabályi megfelelőséghez szükséges, határozza meg a használati esetet és a szolgáltatás hatókörét, ahol ügyfél által felügyelt kulcsokkal történő titkosításra van szükség. Az inaktív adatok titkosításának engedélyezése és implementálása az ügyfél által felügyelt kulcs használatával ezekhez a szolgáltatásokhoz.

A Virtual Machines (VM) virtuális lemezei inaktív állapotban kiszolgálóoldali vagy Azure-beli lemeztitkosítással (ADE) vannak titkosítva. Az Azure Disk Encryption a Windows BitLocker funkcióját használja a felügyelt lemezek ügyfél által felügyelt kulcsokkal való titkosítására a vendég virtuális gépen. Az ügyfél által felügyelt kulcsokkal történő kiszolgálóoldali titkosítás javítja az ADE-t, mert lehetővé teszi, hogy bármilyen operációsrendszer-típust és rendszerképet használjon a virtuális gépekhez a Storage szolgáltatásban lévő adatok titkosításával.

Referencia: Az Azure Disk Storage kiszolgálóoldali titkosítása

DP-6: Biztonságos kulcskezelési folyamat használata

Funkciók

Kulcskezelés az Azure Key Vault

Leírás: A szolgáltatás támogatja az Azure Key Vault-integrációt minden ügyfélkulcshoz, titkos kódhoz vagy tanúsítványhoz. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Key Vault használatával létrehozhatja és szabályozhatja a titkosítási kulcsok életciklusát, beleértve a kulcsok létrehozását, terjesztését és tárolását. Kulcsok rotálása és visszavonása az Azure Key Vault-ban és a szolgáltatásban egy meghatározott ütemezés alapján, vagy kulcs kivezetése vagy sérülése esetén. Ha ügyfél által felügyelt kulcsot (CMK) kell használni a számítási feladat, a szolgáltatás vagy az alkalmazás szintjén, győződjön meg arról, hogy követi a kulcskezelés ajánlott eljárásait: Kulcshierarchia használatával hozzon létre egy külön adattitkosítási kulcsot (DEK) a kulcstitkosítási kulccsal (KEK) a kulcstartóban. Győződjön meg arról, hogy a kulcsok regisztrálva vannak az Azure Key Vault és a szolgáltatásból vagy alkalmazásból származó kulcsazonosítókon keresztül hivatkoznak rá. Ha saját kulcsot (BYOK) kell használnia a szolgáltatáshoz (például HSM által védett kulcsokat kell importálnia a helyszíni HSM-ekből az Azure Key Vault), kövesse az ajánlott irányelveket a kezdeti kulcslétrehozáshoz és a kulcsátvitelhez.

Referencia: Kulcstartó létrehozása és konfigurálása Az Azure Disk Encryptionhez Windows rendszerű virtuális gépen

DP-7: Biztonságos tanúsítványkezelési folyamat használata

Funkciók

Tanúsítványkezelés az Azure Key Vault-ban

Leírás: A szolgáltatás minden ügyféltanúsítvány esetében támogatja az Azure Key Vault-integrációt. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Hamis Nem alkalmazható Nem alkalmazható

Konfigurációs útmutató: Ez a szolgáltatás nem támogatott a szolgáltatás biztonságossá tételéhez.

Eszközkezelés

További információkért lásd a Microsoft felhőbiztonsági teljesítménytesztje: Eszközkezelés című cikket.

AM-2: Csak jóváhagyott szolgáltatások használata

Funkciók

Az Azure Policy támogatása

Leírás: A szolgáltatáskonfigurációk monitorozása és kényszerítése Azure Policy keresztül végezhető el. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Azure Policy segítségével meghatározhatja a szervezet Windows rendszerű és Linux rendszerű virtuális gépeinek kívánt viselkedését. Szabályzatok használatával a szervezetek különböző konvenciókat és szabályokat kényszeríthetnek ki a vállalaton belül, és szabványos biztonsági konfigurációkat definiálhatnak és implementálhatnak az Azure Virtual Machines számára. A kívánt viselkedés kényszerítése segíthet csökkenteni a kockázatokat, miközben hozzájárul a szervezet sikeréhez.

Referencia: az Azure Virtual Machines beépített definícióinak Azure Policy

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Új Azure-Resource Manager használata virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint a következők: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A virtuális gépeket új Azure Resource Manager-erőforrásokba kell migrálni Új Azure-Resource Manager használata virtuális gépekhez olyan biztonsági fejlesztések biztosításához, mint a következők: erősebb hozzáférés-vezérlés (RBAC), jobb naplózás, Azure Resource Manager-alapú üzembe helyezés és irányítás, felügyelt identitásokhoz való hozzáférés, titkos kulcstartóhoz való hozzáférés, Azure AD-alapú hitelesítés és címkék és erőforráscsoportok támogatása a könnyebb biztonság érdekében Kezelése Naplózás, megtagadás, letiltva 1.0.0

AM-5: Csak jóváhagyott alkalmazások használata virtuális gépen

Funkciók

Microsoft Defender felhőhöz – Adaptív alkalmazásvezérlők

Leírás: A szolgáltatás korlátozhatja, hogy az ügyfélalkalmazások mit futnak a virtuális gépen a Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Microsoft Defender for Cloud adaptív alkalmazásvezérlőivel felderítheti a virtuális gépeken futó alkalmazásokat, és létrehozhat egy engedélyezési listát, amely meghatározza, hogy mely jóváhagyott alkalmazások futtathatók a virtuálisgép-környezetben.

Referencia: Adaptív alkalmazásvezérlők használata a gépek támadási felületének csökkentéséhez

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Disabled 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságos alkalmazások meghatározására szolgáló adaptív alkalmazásvezérlőket engedélyezni kell a gépeken Engedélyezze az alkalmazásvezérlők számára, hogy meghatározzák a gépeken futó ismert biztonságos alkalmazások listáját, és riasztást jelenítsen meg, amikor más alkalmazások futnak. Ez segít a gépek kártevők elleni megerősítésében. A szabályok konfigurálásának és karbantartásának egyszerűsítése érdekében a Security Center gépi tanulással elemzi az egyes gépeken futó alkalmazásokat, és javaslatot tesz az ismert biztonságos alkalmazások listájára. AuditIfNotExists, Disabled 3.0.0

Naplózás és fenyegetésészlelés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Naplózás és fenyegetésészlelés.

LT-1: Fenyegetésészlelési képességek engedélyezése

Funkciók

Microsoft Defender a szolgáltatáshoz/termékajánlathoz

Leírás: A szolgáltatás egy ajánlatspecifikus Microsoft Defender megoldással rendelkezik a biztonsági problémák monitorozására és riasztására. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Defender for Servers kiterjeszti a védelmet az Azure-ban futó Windows- és Linux-gépekre. A Defender for Servers integrálható a Végponthoz készült Microsoft Defender végpontészlelés és -reagálás (EDR) biztosításához, valamint számos további fenyegetésvédelmi funkciót is biztosít, például biztonsági alapkonfigurációkat és operációsrendszer-szintű értékeléseket, sebezhetőségi felméréseket, adaptív alkalmazásvezérlőket (AAC), fájlintegritási monitorozást (FIM) stb.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Windows Defender Exploit Guardot engedélyezni kell a gépeken Windows Defender Exploit Guard a Azure Policy Vendégkonfigurációs ügynököt használja. A Exploit Guard négy olyan összetevővel rendelkezik, amelyek célja az eszközök sokféle támadási vektor elleni zárolása és a kártevők elleni támadásokban gyakran használt viselkedés blokkolása, miközben lehetővé teszi a vállalatok számára a biztonsági kockázatok és a hatékonysági követelmények egyensúlyba helyezését (csak Windows esetén). AuditIfNotExists, Disabled 2.0.0

LT-4: Naplózás engedélyezése biztonsági vizsgálathoz

Funkciók

Azure-erőforrásnaplók

Leírás: A szolgáltatás olyan erőforrásnaplókat hoz létre, amelyek továbbfejlesztett szolgáltatásspecifikus metrikákat és naplózást biztosítanak. Az ügyfél konfigurálhatja ezeket az erőforrásnaplókat, és elküldheti őket a saját adatfogyójába, például egy tárfiókba vagy egy Log Analytics-munkaterületre. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Monitor a virtuális gép létrehozásakor automatikusan megkezdi a metrikaadatok gyűjtését a virtuális gép gazdagépe számára. Ahhoz azonban, hogy naplókat és teljesítményadatokat gyűjtsön a virtuális gép vendég operációs rendszeréből, telepítenie kell az Azure Monitor-ügynököt. Az ügynököt telepítheti és konfigurálhatja a gyűjteményt a virtuálisgép-elemzések használatával vagy egy adatgyűjtési szabály létrehozásával.

Referencia: A Log Analytics-ügynök áttekintése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A hálózati adatgyűjtő ügynököt Linux rendszerű virtuális gépekre kell telepíteni A Security Center a Microsoft függőségi ügynökével gyűjti össze a hálózati forgalmi adatokat az Azure-beli virtuális gépekről, hogy olyan speciális hálózatvédelmi funkciókat biztosíthasson, mint a forgalomvizualizáció a hálózati térképen, a hálózatmegszűrési javaslatok és a konkrét hálózati fenyegetések. AuditIfNotExists, Disabled 1.0.2-preview

Állapot- és biztonságirés-kezelés

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: A helyzet és a biztonságirés-kezelés.

PV-3: Biztonságos konfigurációk meghatározása és létrehozása a számítási erőforrásokhoz

Funkciók

Azure Automation State Configuration

Leírás: Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartására használható. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Használja a Azure Automation State Configuration az operációs rendszer biztonsági konfigurációjának fenntartásához.

Referencia: Virtuális gép konfigurálása Desired State Configuration

Azure Policy vendégkonfigurációs ügynök

Leírás: Azure Policy vendégkonfigurációs ügynök telepíthető vagy telepíthető a számítási erőforrások bővítményeként. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Szolgáltatásjegyzetek: Azure Policy vendégkonfiguráció neve mostantól Azure Automanage Machine Configuration.

Konfigurációs útmutató: A felhőhöz készült Microsoft Defender és Azure Policy vendégkonfigurációs ügynök használatával rendszeresen felmérheti és kijavíthatja az Azure számítási erőforrások konfigurációs eltéréseit, beleértve a virtuális gépeket, a tárolókat és másokat.

Referencia: Az Azure Automanage gépkonfigurációs funkciójának ismertetése

Egyéni virtuálisgép-rendszerképek

Leírás: A szolgáltatás támogatja a felhasználó által megadott virtuálisgép-rendszerképek vagy a piactérről előre létrehozott rendszerképek használatát bizonyos alapkonfigurációk előre alkalmazva. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Használjon egy megbízható szállítótól, például a Microsofttól származó előre konfigurált, rögzített rendszerképet, vagy hozzon létre egy kívánt biztonságos konfigurációs alapkonfigurációt a virtuálisgép-rendszerképsablonban

Referencia: Oktatóanyag: Windows rendszerű virtuálisgép-rendszerképek létrehozása Azure PowerShell

PV-4: A számítási erőforrások biztonságos konfigurációinak naplózása és kényszerítése

Funkciók

Virtuális gép megbízható indítása

Leírás: A megbízható indítás védelmet nyújt a fejlett és állandó támadási technikák ellen olyan infrastruktúra-technológiák kombinálásával, mint a biztonságos rendszerindítás, a vTPM és az integritásfigyelés. Minden technológia egy újabb védelmi réteget biztosít a kifinomult fenyegetések ellen. A megbízható indítás lehetővé teszi a virtuális gépek biztonságos üzembe helyezését ellenőrzött rendszertöltőkkel, operációsrendszer-kernelekkel és illesztőprogramokkal, valamint biztonságosan védi a kulcsokat, tanúsítványokat és titkos kulcsokat a virtuális gépeken. A megbízható indítás emellett betekintést nyújt a teljes rendszerindítási lánc integritásába, és biztosítja a számítási feladatok megbízhatóságát és ellenőrizhetőségét. A megbízható indítás integrálva van a Microsoft Defender for Cloud szolgáltatással, hogy a virtuális gépek megfelelően legyenek konfigurálva, a virtuális gép megfelelő rendszerindításának távoli igazolásával. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzése: A megbízható indítás a 2. generációs virtuális gépekhez érhető el. A megbízható indításhoz új virtuális gépek létrehozása szükséges. Nem engedélyezheti a megbízható indítást az eredetileg nélküle létrehozott meglévő virtuális gépeken.

Konfigurációs útmutató: A virtuális gép üzembe helyezése során engedélyezhető a megbízható indítás. Mindhárom engedélyezése – Biztonságos rendszerindítás, vTPM és integritásos rendszerindítás monitorozása a virtuális gép legjobb biztonsági állapotának biztosítása érdekében. Vegye figyelembe, hogy van néhány előfeltétel, például az előfizetés előkészítése a Microsoft Defender for Cloudhoz, bizonyos Azure Policy kezdeményezések hozzárendelése és tűzfalszabályzatok konfigurálása.

Referencia: Virtuális gép üzembe helyezése engedélyezett megbízható indítással

PV-5: Sebezhetőségi felmérések végrehajtása

Funkciók

Sebezhetőségi felmérés Microsoft Defender használatával

Leírás: A szolgáltatás a felhőhöz készült Microsoft Defender vagy más Microsoft Defender-szolgáltatások beágyazott sebezhetőségi felmérési funkciójának (beleértve a kiszolgáló, a tárolóregisztrációs adatbázis, a App Service, az SQL és a DNS Microsoft Defender) használatával vizsgálható meg. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Kövesse a Microsoft Defender for Cloud javaslatait az Azure-beli virtuális gépek biztonságirés-felméréseinek elvégzéséhez.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Letiltva 3.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A biztonságirés-felmérési megoldást engedélyezni kell a virtuális gépeken Naplóz virtuális gépeket annak észleléséhez, hogy támogatott sebezhetőségi felmérési megoldást futtatnak-e. Minden kiberkockázati és biztonsági program alapvető összetevője a biztonsági rések azonosítása és elemzése. Azure Security Center standard tarifacsomagja további költségek nélkül tartalmazza a virtuális gépek biztonsági réseinek vizsgálatát. Emellett a Security Center automatikusan üzembe helyezheti ezt az eszközt. AuditIfNotExists, Letiltva 3.0.0

PV-6: A biztonsági rések gyors és automatikus elhárítása

Funkciók

Azure Automation – Frissítéskezelés

Leírás: A szolgáltatás Azure Automation Update Management használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Az Azure Automation Update Management vagy egy külső megoldás használatával győződjön meg arról, hogy a legújabb biztonsági frissítések telepítve vannak a Windows rendszerű virtuális gépeken. Windows rendszerű virtuális gépek esetén győződjön meg arról, hogy Windows Update engedélyezve van, és automatikus frissítésre van beállítva.

Referencia: A virtuális gépek frissítéseinek és javításainak kezelése

Azure-vendégjavítási szolgáltatás

Leírás: A szolgáltatás az Azure Guest Patching használatával automatikusan üzembe helyezhet javításokat és frissítéseket. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A szolgáltatások különböző frissítési mechanizmusokat használhatnak, például az automatikus operációs rendszer lemezképeinek frissítését és az automatikus vendégjavítást. Javasoljuk, hogy a biztonságos üzembe helyezés alapelveit követve alkalmazza a legújabb biztonsági és kritikus frissítéseket a virtuális gép vendég operációs rendszerére.

Az automatikus vendégjavítás lehetővé teszi az Azure-beli virtuális gépek automatikus felmérését és frissítését, hogy fenntartsa a minden hónapban kiadott kritikus és biztonsági frissítéseknek való megfelelést. Frissítések a rendszer csúcsidőn kívül alkalmazza, beleértve a rendelkezésre állási csoportban lévő virtuális gépeket is. Ez a képesség a rugalmas VMSS vezényléshez érhető el, és a jövőben támogatja az egységes vezénylés ütemtervét.

Állapot nélküli számítási feladat futtatása esetén az automatikus operációsrendszer-rendszerkép-frissítések ideálisak a VMSS Uniform legújabb frissítésének alkalmazásához. A visszaállítási funkcióval ezek a frissítések kompatibilisek a Marketplace-szel vagy az egyéni rendszerképekkel. A rugalmas vezénylés ütemtervének jövőbeli gördülő frissítési támogatása.

Referencia: Azure-beli virtuális gépek automatikus virtuálisgép-vendégjavítása

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A rendszerfrissítéseket telepíteni kell a gépeken A kiszolgálókon hiányzó biztonsági rendszerfrissítéseket a Azure Security Center figyeli javaslatként AuditIfNotExists, Letiltva 4.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
[Előzetes verzió]: A rendszerfrissítéseket telepíteni kell a gépekre (az Update Center működteti) A gépekről hiányoznak a rendszer, a biztonság és a kritikus frissítések. A szoftverfrissítések gyakran tartalmaznak kritikus javításokat a biztonsági lyukakhoz. Az ilyen lyukakat gyakran használják ki a kártevő támadások, ezért elengedhetetlen a szoftver frissítésének fenntartása. Az összes kiemelkedő javítás telepítéséhez és a gépek biztonságossá tételéhez kövesse a szervizelési lépéseket. AuditIfNotExists, Letiltva 1.0.0-preview

Végpontbiztonság

További információt a Microsoft felhőbiztonsági teljesítménytesztje: Végpontbiztonság című témakörben talál.

ES-1: Végpontészlelés és -válasz használata (EDR)

Funkciók

EDR-megoldás

Leírás: A végpontészlelés és -válasz (EDR) funkció, például a kiszolgálókhoz készült Azure Defender üzembe helyezhető a végponton. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A kiszolgálókhoz készült Azure Defender (integrált Végponthoz készült Microsoft Defender) EDR-képességet biztosít a speciális fenyegetések megelőzésére, észlelésére, kivizsgálására és megválaszolására. A Microsoft Defender for Cloud használatával üzembe helyezheti az Azure Defendert a végpont kiszolgálóihoz, és integrálhatja a riasztásokat a SIEM-megoldásba, például az Azure Sentinelbe.

Referencia: A Defender for Servers üzembe helyezésének megtervezése

ES-2: Modern kártevőirtó szoftverek használata

Funkciók

Kártevőirtó megoldás

Leírás: Kártevőirtó funkció, például Microsoft Defender víruskereső, Végponthoz készült Microsoft Defender telepíthető a végponton. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: A Windows Server 2016 és újabb verziók esetében a Microsoft Defender alapértelmezés szerint telepítve van a víruskeresőhöz. Az Windows Server 2012 R2 és újabb verziók esetében az ügyfelek telepíthetik az SCEP-t (System Center Endpoint Protection). Alternatív megoldásként az ügyfelek dönthetnek úgy is, hogy külső kártevőirtó termékeket telepítenek.

Referencia: Végponthoz készült Defender a Windows Server előkészítésekor

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

ES-3: A kártevőirtó szoftverek és aláírások frissítésének biztosítása

Funkciók

Kártevőirtó megoldás állapotmonitorozása

Leírás: A kártevőirtó megoldás állapotmonitorozást biztosít a platform-, motor- és automatikus aláírásfrissítésekhez. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Funkció megjegyzései: A biztonsági intelligencia és a termékfrissítések a Végponthoz készült Defenderre vonatkoznak, amely telepíthető a Windows rendszerű virtuális gépekre.

Konfigurációs útmutató: Konfigurálja a kártevőirtó megoldást, hogy a platform, a motor és az aláírások gyorsan és következetesen frissüljenek, és állapotuk monitorozásra kerüljön.

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.ClassicCompute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
A végpontvédelmi állapottal kapcsolatos problémákat meg kell oldani a gépeken A virtuális gépek végpontvédelmi állapotproblémáinak megoldása a legújabb fenyegetések és biztonsági rések elleni védelem érdekében. Azure Security Center támogatott végpontvédelmi megoldásokat itt dokumentáljuk: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. A végpontvédelmi értékelés dokumentálása itt található: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. AuditIfNotExists, Disabled 1.0.0

Biztonsági másolat és helyreállítás

További információ: A Microsoft felhőbiztonsági teljesítménytesztje: Biztonsági mentés és helyreállítás.

BR-1: Rendszeres automatikus biztonsági mentések biztosítása

Funkciók

Azure Backup

Leírás: A szolgáltatásról az Azure Backup szolgáltatás készíthet biztonsági másolatot. További információk.

Támogatott Alapértelmezés szerint engedélyezve Konfigurációs felelősség
Igaz Hamis Ügyfél

Konfigurációs útmutató: Engedélyezze Azure Backup, és konfigurálja a biztonsági mentési forrást (például azure Virtual Machines, SQL Server, HANA-adatbázisok vagy fájlmegosztások) a kívánt gyakorisággal és a kívánt megőrzési időtartammal. Az Azure Virtual Machines Azure Policy használatával engedélyezheti az automatikus biztonsági mentéseket.

Referencia: Biztonsági mentési és visszaállítási lehetőségek az Azure-beli virtuális gépekhez

Microsoft Defender felhőmonitorozáshoz

Azure Policy beépített definíciók – Microsoft.Compute:

Name
(Azure Portal)
Description Hatás(ok) Verzió
(GitHub)
Azure Backup engedélyezni kell a Virtual Machines A Azure Backup engedélyezésével gondoskodjon az Azure Virtual Machines védelméről. Azure Backup egy biztonságos és költséghatékony adatvédelmi megoldás az Azure-hoz. AuditIfNotExists, Letiltva 3.0.0

Következő lépések