Definisi bawaan Azure Policy untuk Azure Resource Manager.
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure Resource Manager. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure Resource Manager
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Log aktivitas harus disimpan setidaknya selama satu tahun | Kebijakan ini mengaudit log aktivitas jika retensi tidak disetel selama 365 hari atau selamanya (hari retensi disetel ke 0). | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Tambahkan tag ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. | ubah | 1.0.0 |
| Tambahkan tag ke langganan | Menambahkan tag dan nilai yang ditentukan ke langganan melalui tugas perbaikan. Jika tag ada dengan nilai yang berbeda, itu tidak akan diubah. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada grup sumber daya | Menambahkan atau mengganti tag dan nilai yang ditentukan saat grup sumber daya dibuat atau diperbarui. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. | ubah | 1.0.0 |
| Menambahkan atau mengganti tag pada langganan | Menambahkan atau mengganti tag dan nilai yang ditentukan pada langganan melalui tugas perbaikan. Grup sumber daya yang ada dapat diperbaiki dengan memicu tugas perbaikan. Lihat https://aka.ms/azurepolicyremediation untuk informasi selengkapnya tentang perbaikan kebijakan. | ubah | 1.0.0 |
| Lokasi yang diizinkan untuk grup sumber daya | Kebijakan ini memungkinkan Anda membatasi lokasi tempat organisasi Anda dapat membuat sumber daya. Gunakan untuk menerapkan persyaratan kepatuhan geografis Anda. | tolak | 1.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Administratif tertentu | Kebijakan ini mengaudit operasi Administratif tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Kebijakan tertentu | Kebijakan ini mengaudit operasi Kebijakan tertentu tanpa pemberitahuan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Peringatan log aktivitas harus ada untuk operasi Keamanan tertentu | Kebijakan ini mengaudit operasi Keamanan tertentu tanpa peringatan log aktivitas yang dikonfigurasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Menambahkan tag dan nilainya ke grup sumber daya | Menambahkan tag dan nilai yang ditentukan saat grup sumber daya yang tidak memiliki tag ini dibuat atau diperbarui. Tidak mengubah tag grup sumber daya yang dibuat sebelum kebijakan ini diterapkan hingga grup sumber daya tersebut diubah. Kebijakan efek 'modifikasi' baru tersedia yang mendukung perbaikan tag pada sumber daya yang ada (lihat https://aka.ms/modifydoc). | append | 1.0.0 |
| Komputer virtual audit tanpa konfigurasi pemulihan bencana | Mengaudit komputer virtual yang tidak memiliki konfigurasi pemulihan bencana. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Penyediaan otomatis agen Analisis Log harus diaktifkan pada langganan Anda | Untuk memantau kerentanan dan ancaman keamanan, Azure Security Center mengumpulkan data dari komputer virtual Azure Anda. Data dikumpulkan oleh agen Log Analytics, sebelumnya dikenal sebagai Microsoft Monitoring Agent (MMA), yang membaca berbagai konfigurasi terkait keamanan dan log peristiwa dari komputer dan menyalin data ke ruang kerja Log Analytics Anda untuk analisis. Sebaiknya aktifkan penyediaan otomatis untuk menerapkan agen secara otomatis ke semua Azure VM yang didukung dan yang baru yang dibuat. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk database relasional sumber terbuka harus diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
| Profil log Azure Monitor harus mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | Kebijakan ini memastikan bahwa profil log mengumpulkan log untuk kategori 'tulis,' 'hapus,' dan 'tindakan' | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Azure Monitor harus mengumpulkan log aktivitas dari semua wilayah | Kebijakan ini mengaudit profil log Azure Monitor yang tidak mengekspor aktivitas dari semua wilayah yang didukung Azure termasuk global. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Solusi Azure Monitor 'Keamanan dan Audit' harus disebarkan | Kebijakan ini memastikan bahwa Keamanan dan Audit disebarkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Langganan Azure harus memiliki profil log untuk Log Aktivitas | Kebijakan ini memastikan jika profil log diaktifkan untuk mengekspor log aktivitas. Ini mengaudit jika tidak ada profil log yang dibuat untuk mengekspor log ke akun penyimpanan atau ke hub acara. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengonfigurasi log Aktivitas Azure untuk mengalirkan ke ruang kerja Analitik Log yang ditentukan | Menyebarkan pengaturan diagnostik untuk Aktivitas Azure untuk mengalirkan jejak audit langganan ke ruang kerja Analitik Log guna memantau kejadian tingkat langganan | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Layanan Aplikasi agar diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Azure Defender untuk database Azure SQL agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Konfigurasikan Azure Defender agar database relasional sumber terbuka diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Azure Defender untuk Resource Manager agar diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi Azure Defender agar server diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Azure Defender untuk server SQL pada mesin agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi Microsoft Defender for Storage dasar untuk diaktifkan (Hanya Pemantauan Aktivitas) | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan kemampuan Defender for Storage dasar (Pemantauan Aktivitas). Untuk mengaktifkan perlindungan penuh, yang juga mencakup Pemindaian Malware On-upload dan Deteksi Ancaman Data Sensitif menggunakan kebijakan pengaktifan penuh: aka.ms/DefenderForStoragePolicy. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasikan pemulihan bencana pada mesin virtual dengan mengaktifkan replikasi melalui Azure Site Recovery | Komputer virtual tanpa konfigurasi pemulihan bencana rentan terhadap penghentian dan gangguan lainnya. Jika belum mengonfigurasi pemulihan bencana, komputer virtual akan mengonfigurasinya dengan mengaktifkan replikasi menggunakan konfigurasi yang diatur sebelumnya untuk memudahkan kelangsungan bisnis. Anda dapat secara opsional menyertakan/mengecualikan mesin virtual yang berisi tag tertentu untuk mengontrol cakupan penugasan. Untuk mempelajari penemuan bencana lebih lanjut, buka https://aka.ms/asr-doc. | DeployIfNotExists, Nonaktif | 2.1.0 |
| Mengonfigurasi ruang kerja dan akun automasi Log Analytics untuk memusatkan log dan pemantauan | Terapkan grup sumber daya yang berisi ruang kerja Log Analytics dan akun automasi tertaut untuk memusatkan log dan pemantauan. Akun automasi adalah prasyarat untuk solusi seperti Pembaruan dan Pelacakan Perubahan. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Mengonfigurasi paket CSPM Pertahanan Microsoft | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan CSPM Microsoft Defender agar diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasikan Microsoft Defender untuk Azure Cosmos DB yang hendak diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi paket Pertahanan Microsoft untuk Kontainer | Kemampuan baru terus ditambahkan ke paket Defender for Containers, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan Pertahanan Microsoft untuk Kontainer agar diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_EXCLUDE_LINUX...) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_EXCLUDE_LINUX_...), untuk mengaktifkan provisi otomatis MDE untuk server Linux. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_UNIFIED_SOLUTION) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_UNIFIED_SOLUTION), untuk mengaktifkan provisi otomatis MDE Unified Agent untuk Windows Server 2012R2 dan 2016. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP), untuk komputer downlevel Windows yang di-onboard ke MDE melalui MMA, dan provisi otomatis MDE pada Windows Server 2019 , Windows Virtual Desktop ke atas. Harus diaktifkan agar pengaturan lain (WDATP_UNIFIED, dll.) berfungsi. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi paket Microsoft Defender untuk Key Vault | Microsoft Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun brankas kunci. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi paket Pertahanan Microsoft untuk Server | Kemampuan baru terus ditambahkan ke Defender untuk Server, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan (Klasik) untuk diaktifkan | Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. | DeployIfNotExists, Nonaktif | 1.0.2 |
| Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan yang akan diaktifkan | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan semua kemampuan Defender for Storage; Pemantauan Aktivitas, Pemindaian Malware, dan Deteksi Ancaman Data Sensitif. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.2.0 |
| Mengonfigurasi langganan untuk menyiapkan fitur pratinjau | Kebijakan ini mengevaluasi fitur pratinjau langganan yang ada. Langganan dapat diperbaiki untuk mendaftar ke fitur pratinjau baru. Langganan baru tidak akan didaftarkan secara otomatis. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.0.1 |
| Menyebarkan - Mengonfigurasi aturan supresi untuk pemberitahuan Azure Security Center | Mengurangi pemberitahuan Azure Security Center untuk mengurangi kelelahan pemberitahuan dengan menyebarkan aturan supresi pada grup manajemen atau langganan Anda. | deployIfNotExists | 1.0.0 |
| Menyebarkan ekspor ke Pusat Aktivitas sebagai layanan tepercaya untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Azure Event Hub sebagai layanan tepercaya dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke Event Hub sebagai konfigurasi layanan tepercaya dengan kondisi Anda dan target Event Hub pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Sebarkan ekspor ke Pusat Aktivitas untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Pusat Aktivitas dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi Hub Kejadian dengan kondisi Anda dan menargetkan Hub Kejadian pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.2.0 |
| Sebarkan ekspor ke ruang kerja Analitik Log untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke ruang kerja Analitik Log dari data Microsoft Defender for Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi ruang kerja Analitik Log dengan kondisi dan ruang kerja target Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.1.0 |
| Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud | Aktifkan automasi pemberitahuan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud | Aktifkan automasi rekomendasi Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud | Aktifkan automasi kepatuhan terhadap peraturan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
| Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
| Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
| Aktifkan Microsoft Defender untuk Cloud pada langganan Anda | Mengidentifikasi langganan yang ada yang tidak dipantau oleh Microsoft Defender untuk Cloud dan melindunginya dengan fitur gratis Defender untuk Cloud. Langganan yang sudah dipantau akan dianggap sesuai syarat. Untuk mendaftarkan langganan yang baru dibuat, buka tab kepatuhan, pilih penugasan tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 1.0.1 |
| Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja kustom. | Izinkan Azure Security Center untuk secara otomatis memprovisikan agen Analitik Log pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja kustom. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja default. | Izinkan Azure Security Center untuk memprovisikan agen Analitik Log secara otomatis pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja default ASC. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Mengecualikan Sumber Daya Biaya Penggunaan | Kebijakan ini memungkinkan Anda menjalankan Sumber Daya Biaya Penggunaan. Biaya penggunaan mencakup hal-hal seperti penyimpanan terukur dan sumber daya Azure yang ditagih berdasarkan penggunaan. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Microsoft Defender CSPM harus diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Microsoft Defender untuk API harus diaktifkan | Microsoft Defender untuk API menghadirkan penemuan, perlindungan, deteksi, & cakupan respons baru untuk memantau serangan berbasis API umum & kesalahan konfigurasi keamanan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Microsoft Defender untuk Azure Cosmos DB harus diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Memerlukan tag dan nilainya pada grup sumber daya | Menerapkan tag yang diperlukan dan nilainya pada grup sumber daya. | tolak | 1.0.0 |
| Memerlukan tag pada grup sumber daya | Menerapkan keberadaan tag pada grup sumber daya. | tolak | 1.0.0 |
| Menyiapkan langganan ke transisi ke solusi penilaian kerentanan alternatif | Pertahanan Microsoft untuk cloud menawarkan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Mengaktifkan kebijakan ini akan menyebabkan Defender untuk Cloud secara otomatis menyebarluaskan temuan dari solusi pengelolaan kerentanan Pertahanan Microsoft bawaan ke semua komputer yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
| Langganan harus mengonfigurasi Azure Firewall Premium untuk memberikan lapisan perlindungan tambahan | Azure Firewall Premium memberikan perlindungan ancaman tingkat lanjut yang memenuhi kebutuhan lingkungan yang sangat sensitif dan teregulasi. Sebarkan Azure Firewall Premium ke langganan Anda dan pastikan semua lalu lintas layanan dilindungi oleh Azure Firewall Premium. Untuk mempelajari selengkapnya tentang Azure Firewall Premium, kunjungi https://aka.ms/fw-premium | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.