Definisi kebijakan bawaan Azure Policy untuk Microsoft Defender untuk Cloud
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy yang terkait dengan Microsoft Defender untuk Cloud. Pengelompokan definisi kebijakan berikut tersedia:
- Grup inisiatif mencantumkan definisi inisiatif Azure Policy dalam kategori "Defender untuk Cloud".
- Grup inisiatif default mencantumkan semua definisi Azure Policy yang merupakan bagian dari inisiatif default Defender untuk Cloud, tolok ukur keamanan cloud Microsoft. Tolok ukur yang ditulis oleh Microsoft dan dipatuhi secara luas ini dibuat berdasarkan kontrol dari Center for Internet Security (CIS) dan National Institute of Standards and Technology (NIST) dengan fokus pada keamanan yang berpusat pada cloud.
- Grup kategori mencantumkan semua definisi Azure Policy dalam kategori "Defender untuk Cloud".
Untuk mengetahui informasi selengkapnya tentang kebijakan keamanan, lihat Bekerja dengan kebijakan keamanan. Untuk bawaan Azure Policy untuk layanan lain, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Inisiatif Microsoft Defender untuk Cloud
Untuk mempelajari tentang inisiatif bawaan yang dipantau oleh Defender untuk Cloud, lihat tabel berikut:
Nama | Deskripsi | Kebijakan | Versi |
---|---|---|---|
[Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir | Sebarkan agen Pertahanan Microsoft untuk Titik Akhir pada gambar yang berlaku. | 4 | 1.0.0-preview |
Konfigurasikan Perlindungan Ancaman Lanjutan untuk diaktifkan pada basis data relasional sumber terbuka | Aktifkan Perlindungan Ancaman Lanjutan pada basis data relasional sumber terbuka tingkat non-Basic Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi basis data. Lihat https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
Konfigurasikan Azure Defender untuk diaktifkan di SQL Servers dan SQL Managed Instances | Aktifkan Azure Defender di SQL Server dan SQL Managed Instances Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | 3 | 3.0.0 |
Mengonfigurasi paket Microsoft Defender untuk Cloud | Microsoft Defender untuk Cloud memberikan perlindungan cloud-native yang komprehensif dari pengembangan hingga runtime di lingkungan multi-cloud. Gunakan inisiatif kebijakan untuk mengonfigurasi paket dan ekstensi Defender untuk Cloud untuk diaktifkan pada cakupan yang dipilih. | 11 | 1.0.0 |
Mengonfigurasikan Microsoft Defender untuk Database agar diaktifkan | Konfigurasikan Microsoft Defender untuk Database untuk melindungi Database Azure SQL, Instans Terkelola, database relasional sumber terbuka, dan Cosmos DB Anda. | 4 | 1.0.0 |
Mengonfigurasi beberapa pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud | Konfigurasikan beberapa pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION dll.). Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | 3 | 1.0.0 |
Mengonfigurasi komputer virtual SQL dan SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL dan AMA dengan ruang kerja LA | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Membuat grup sumber daya dan Aturan Pengumpulan Data dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | 9 | 1.3.0 |
Mengonfigurasi VM SQL dan SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL dan AMA dengan ruang kerja LA yang ditentukan pengguna | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Membuat grup sumber daya dan Aturan Pengumpulan Data di wilayah yang sama dengan ruang kerja Analitik Log yang ditentukan pengguna. | 8 | 1.2.0 |
Tolok ukur keamanan cloud Microsoft | Inisiatif tolok ukur keamanan cloud Microsoft mewakili kebijakan dan kontrol yang menerapkan rekomendasi keamanan yang ditentukan dalam tolok ukur keamanan cloud Microsoft, lihat https://aka.ms/azsecbm. Ini juga berfungsi sebagai inisiatif kebijakan default Defender untuk Cloud. Anda dapat langsung menetapkan inisiatif ini, atau mengelola kebijakan dan hasil kepatuhannya dalam Defender untuk Cloud. | 228 | 57.45.0 |
inisiatif default Defender untuk Cloud (tolok ukur keamanan cloud Microsoft)
Untuk mempelajari tentang kebijakan bawaan yang dipantau oleh Defender untuk Cloud, lihat tabel berikut:
Nama Azure Policy (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: Semua lalu lintas Internet harus dirutekan melalui Azure Firewall yang Anda sebarkan | Azure Security Center telah mengidentifikasi bahwa beberapa subnet Anda tidak dilindungi dengan firewall generasi berikutnya. Lindungi subnet Anda dari potensi ancaman dengan membatasi akses ke mereka dengan Azure Firewall atau firewall generasi berikutnya yang didukung | AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
[Pratinjau]: Kluster Kubernetes yang mengaktifkan Azure Arc harus memiliki ekstensi Microsoft Defender untuk Cloud yang diinstal | Ekstensi Microsoft Defender untuk Cloud untuk Azure Arc memberikan perlindungan ancaman untuk kluster Kubernetes Anda yang mendukung Arc. Ekstensi ini mengumpulkan data dari simpul dalam kluster dan mengirimkannya ke backend Azure Defender untuk Kube di cloud untuk dianalisis lebih lanjut. Pelajari lebih lanjut di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
[Pratinjau]: Server fleksibel Azure PostgreSQL harus mengaktifkan Autentikasi Microsoft Entra Only | Menonaktifkan metode autentikasi lokal dan hanya mengizinkan Autentikasi Microsoft Entra meningkatkan keamanan dengan memastikan bahwa server fleksibel Azure PostgreSQL dapat diakses secara eksklusif oleh identitas Microsoft Entra. | Audit, Dinonaktifkan | 1.0.0-preview |
[Pratinjau]: Server Azure Stack HCI harus memiliki kebijakan kontrol aplikasi yang diberlakukan secara konsisten | Minimal, terapkan kebijakan dasar Microsoft WDAC dalam mode yang diberlakukan di semua server Azure Stack HCI. Kebijakan Kontrol Aplikasi Pertahanan Windows (WDAC) yang diterapkan harus konsisten di seluruh server dalam kluster yang sama. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
[Pratinjau]: Server Azure Stack HCI harus memenuhi persyaratan Secured-core | Pastikan bahwa semua server Azure Stack HCI memenuhi persyaratan Secured-core. Untuk mengaktifkan persyaratan server Secured-core: 1. Dari halaman kluster Azure Stack HCI, buka Pusat Admin Windows dan pilih Sambungkan. 2. Buka ekstensi Keamanan dan pilih Secured-core. 3. Pilih pengaturan apa pun yang tidak diaktifkan dan klik Aktifkan. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
[Pratinjau]: Sistem Azure Stack HCI harus memiliki volume terenkripsi | Gunakan BitLocker untuk mengenkripsi OS dan volume data pada sistem Azure Stack HCI. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung | Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 5.1.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung | Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung guna memungkinkan Azure Security Center membuktikan secara proaktif dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 4.0.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 3.1.0-pratinjau |
[Pratinjau]: Jaringan host dan VM harus dilindungi pada sistem Azure Stack HCI | Lindungi data di jaringan host Azure Stack HCI dan pada koneksi jaringan komputer virtual. | Audit, Dinonaktifkan, AuditIfNotExists | 1.0.0-preview |
[Pratinjau]: Komputer virtual Linux hanya boleh menggunakan komponen boot yang ditandatangani dan tepercaya | Semua komponen boot OS (boot loader, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi mesin Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar yang diizinkan atau hapus komponen yang teridentifikasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Linux | Kebijakan ini mengaudit mesin Linux Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
[Pratinjau]: Ekstensi Analitik Log harus diinstal di mesin Azure Arc Windows | Kebijakan ini mengaudit mesin Windows Azure Arc jika ekstensi Analitik Log tidak terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.1-pratinjau |
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Linux | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
[Pratinjau]: Agen pengumpulan data lalu lintas harus diinstal di mesin virtual Windows | Azure Security Center menggunakan agen Dependensi Microsoft untuk mengumpulkan data lalu lintas dari komputer virtual Azure Anda untuk mengaktifkan fitur perlindungan jaringan tingkat lanjut seperti visualisasi lalu lintas di peta jaringan, rekomendasi penguatan jaringan, dan ancaman jaringan tertentu. | AuditIfNotExists, Dinonaktifkan | pratinjau-1.0.2 |
[Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung | Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | Audit, Dinonaktifkan | 4.0.0-pratinjau |
[Pratinjau]: Akses publik akun penyimpanan tidak boleh diizinkan | Akses baca publik anonim ke container dan blob di Azure Storage adalah cara yang nyaman untuk berbagi data tetapi dapat menimbulkan risiko keamanan. Untuk mencegah pelanggaran data yang disebabkan oleh akses anonim yang tidak diinginkan, Microsoft merekomendasikan untuk mencegah akses publik ke akun penyimpanan kecuali skenario Anda memerlukannya. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 3.1.0-pratinjau |
[Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung | Mengaktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. | Audit, Dinonaktifkan | pratinjau-2.0.0 |
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Administrator Microsoft Entra harus disediakan untuk server MySQL | Provisi audit administrator Microsoft Entra untuk server MySQL Anda untuk mengaktifkan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.1.1 |
Administrator Microsoft Entra harus disediakan untuk server PostgreSQL | Provisi audit administrator Microsoft Entra untuk server PostgreSQL Anda untuk mengaktifkan autentikasi Microsoft Entra. Autentikasi Microsoft Entra memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Administrator Azure Active Directory harus disediakan untuk server SQL | Penyediaan audit administrator Microsoft Azure Active Directory untuk server SQL Anda agar mengaktifkan autentikasi Microsoft Azure Active Directory. Autentikasi Microsoft Azure Active Directory memungkinkan manajemen izin yang disederhanakan dan manajemen identitas terpusat dari pengguna database dan layanan Microsoft lainnya | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Titik akhir API di Azure API Management harus diautentikasi | Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Pelajari Selengkapnya tentang Ancaman API OWASP untuk Autentikasi Pengguna Rusak di sini: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan dapat menimbulkan risiko keamanan kepada organisasi Anda. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management tetapi mungkin secara tidak sengaja dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
API Management API hanya boleh menggunakan protokol terenkripsi | Untuk memastikan keamanan data saat transit, API harus tersedia hanya melalui protokol terenkripsi, seperti HTTPS atau WSS. Hindari menggunakan protokol yang tidak aman, seperti HTTP atau WS. | Audit, Dinonaktifkan, Tolak | 2.0.2 |
Panggilan API Management ke backend API harus diautentikasi | Panggilan dari API Management ke backend harus menggunakan beberapa bentuk autentikasi, baik melalui sertifikat atau kredensial. Tidak berlaku untuk backend Service Fabric. | Audit, Dinonaktifkan, Tolak | 1.0.1 |
Panggilan API Management ke backend API tidak boleh melewati thumbprint sertifikat atau validasi nama | Untuk meningkatkan keamanan API, API Management harus memvalidasi sertifikat server backend untuk semua panggilan API. Aktifkan thumbprint sertifikat SSL dan validasi nama. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
Titik akhir manajemen langsung API Management tidak boleh diaktifkan | REST API manajemen langsung di Azure API Management melewati mekanisme kontrol akses, otorisasi, dan pembatasan berbasis peran Azure Resource Manager, sehingga meningkatkan kerentanan layanan Anda. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
Versi API minimum API Management harus diatur ke 01-12-2019 atau lebih baru | Untuk mencegah rahasia layanan dibagikan dengan pengguna baca-saja, versi API minimum harus diatur ke 01-12-2019 atau yang lebih baru. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Nilai bernama rahasia API Management harus disimpan di Azure Key Vault | Nilai bernama adalah kumpulan pasangan nama dan nilai di setiap layanan API Management. Nilai rahasia dapat disimpan baik sebagai teks terenkripsi dalam API Management (rahasia kustom) atau dengan merujuk rahasia di Azure Key Vault. Untuk meningkatkan keamanan API Management dan rahasia, referensikan rahasia bernama nilai dari Azure Key Vault. Azure Key Vault mendukung manajemen akses terperinci dan kebijakan rotasi rahasia. | Audit, Dinonaktifkan, Tolak | 1.0.2 |
Layanan API Management harus menggunakan jaringan virtual | Penyebaran Azure Virtual Network memberikan keamanan yang ditingkatkan, isolasi dan memungkinkan Anda untuk menempatkan layanan API Management Anda di jaringan non-internet routable yang Anda kontrol aksesnya. Jaringan ini kemudian dapat dihubungkan ke jaringan lokal Anda menggunakan berbagai teknologi VPN, yang memungkinkan akses ke layanan backend Anda dalam jaringan dan/atau lokal. Portal pengembang dan gateway API, dapat dikonfigurasi agar dapat diakses baik dari Internet atau hanya dalam jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
API Management harus menonaktifkan akses jaringan publik ke titik akhir konfigurasi layanan | Untuk meningkatkan keamanan layanan API Management, batasi konektivitas ke titik akhir konfigurasi layanan, seperti API manajemen akses langsung, titik akhir manajemen konfigurasi Git, atau titik akhir konfigurasi gateway yang dihost sendiri. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Langganan API Management tidak boleh dilingkup ke semua API | Langganan API Management harus dilingkup ke produk atau API individual alih-alih semua API, yang dapat mengakibatkan paparan data yang berlebihan. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
App Configuration harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke instans konfigurasi aplikasi Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
Mengaudit penggunaan peran RBAC kustom | Audit peran bawaan seperti 'Pemilik, Kontributor, Pembaca', sebagai pengganti peran RBAC kustom, yang rawan kesalahan. Penggunaan peran kustom diperlakukan sebagai pengecualian dan memerlukan peninjauan yang ketat serta pemodelan ancaman | Audit, Dinonaktifkan | 1.0.1 |
Audit di server SQL harus diaktifkan | Pengauditan di SQL Server Anda harus diaktifkan untuk melacak aktivitas di seluruh database di server dan menyimpannya dalam log audit. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Autentikasi ke komputer Linux memerlukan kunci SSH | Meskipun SSH sendiri menyediakan koneksi terenkripsi, menggunakan kata sandi dengan SSH masih membuat VM rentan terhadap serangan brute force. Opsi paling aman untuk mengautentikasi ke komputer virtual Linux Azure melalui SSH adalah dengan kunci publik-pribadi, juga dikenal sebagai kunci SSH. Pelajari selengkapnya: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
Variabel akun Automation harus dienkripsi | Penting untuk mengaktifkan enkripsi aset variabel akun Azure Automation saat menyimpan data sensitif | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Sumber daya Azure AI Services harus mengenkripsi data tidak aktif dengan kunci yang dikelola pelanggan (CMK) | Menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif memberikan kontrol lebih besar atas siklus hidup utama, termasuk rotasi dan manajemen. Ini sangat relevan untuk organisasi dengan persyaratan kepatuhan terkait. Ini tidak dinilai secara default dan hanya boleh diterapkan ketika diperlukan oleh persyaratan kepatuhan atau kebijakan terbatas. Jika tidak diaktifkan, data akan dienkripsi menggunakan kunci yang dikelola platform. Untuk menerapkan ini, perbarui parameter 'Efek' dalam Kebijakan Keamanan untuk cakupan yang berlaku. | Audit, Tolak, Dinonaktifkan | 2.2.0 |
Sumber daya Azure AI Services harus menonaktifkan akses kunci (menonaktifkan autentikasi lokal) | Akses kunci (autentikasi lokal) disarankan untuk dinonaktifkan untuk keamanan. Azure OpenAI Studio, biasanya digunakan dalam pengembangan/pengujian, memerlukan akses kunci dan tidak akan berfungsi jika akses kunci dinonaktifkan. Setelah menonaktifkan, MICROSOFT Entra ID menjadi satu-satunya metode akses, yang memungkinkan mempertahankan prinsip hak istimewa minimum dan kontrol terperinci. Pelajari lebih lanjut di: https://aka.ms/AI/auth | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Sumber daya Azure AI Services harus membatasi akses jaringan | Dengan membatasi akses jaringan, Anda dapat memastikan bahwa hanya jaringan yang diizinkan yang dapat mengakses layanan. Ini dapat dicapai dengan mengonfigurasi aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses layanan Azure AI. | Audit, Tolak, Dinonaktifkan | 3.2.0 |
Sumber daya Azure AI Services harus menggunakan Azure Private Link | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link mengurangi risiko kebocoran data dengan menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/AzurePrivateLink/Overview | Audit, Dinonaktifkan | 1.0.0 |
Versi platform Azure API Management harus stv2 | Azure API Management versi platform komputasi stv1 akan dihentikan efektif 31 Agustus 2024, dan instans ini harus dimigrasikan ke platform komputasi stv2 untuk dukungan berkelanjutan. Pelajari lebih lanjut di https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Kluster Kubernetes dengan dukungan Azure Arc harus menginstal ekstensi Azure Policy | Ekstensi Azure Policy untuk Azure Arc menyediakan penegakan dan perlindungan skala besar pada kluster Kubernetes yang diaktifkan Arc Anda secara terpusat dan konsisten. Pelajari lebih lanjut di https://aka.ms/akspolicydoc. | AuditIfNotExists, Dinonaktifkan | 1.1.0 |
Azure Backup harus diaktifkan untuk Virtual Machines | Pastikan perlindungan Virtual Machines Azure Anda dengan mengaktifkan Azure Backup. Azure Backup adalah solusi perlindungan data yang aman dan hemat biaya untuk Azure. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Azure Cache for Redis harus menggunakan tautan privat | Titik akhir privat memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Dengan memetakan titik akhir privat ke instans Azure Cache for Redis Anda, risiko kebocoran data berkurang. Pelajari selengkapnya di: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun Azure Cosmos DB harus memiliki aturan firewall | Aturan firewall harus ditentukan di akun Azure Cosmos DB Anda untuk mencegah lalu lintas dari sumber yang tidak sah. Akun yang memiliki setidaknya satu aturan IP yang ditentukan dengan filter jaringan virtual diaktifkan dianggap sesuai. Akun yang menonaktifkan akses publik juga dianggap patuh. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Akun Azure Cosmos DB harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari Azure Cosmos DB Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/cosmosdb-cmk. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 1.1.0 |
Azure Cosmos DB harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa akun CosmosDB Anda tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan akun CosmosDB Anda. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Kluster Azure Databricks harus menonaktifkan IP publik | Menonaktifkan IP publik kluster di Ruang Kerja Azure Databricks meningkatkan keamanan dengan memastikan bahwa kluster tidak terekspos di internet publik. Pelajari selengkapnya di: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Ruang Kerja Azure Databricks harus berada di jaringan virtual | Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Ruang Kerja Azure Databricks Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Pelajari selengkapnya di: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Ruang Kerja Azure Databricks harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa sumber daya tidak terekspos di internet publik. Anda dapat mengontrol paparan sumber daya Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari selengkapnya di: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Ruang Kerja Azure Databricks harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke ruang kerja Azure Databricks, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/adbpe. | Audit, Dinonaktifkan | 1.0.2 |
Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk database relasional sumber terbuka harus diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Azure Defender untuk SQL harus diaktifkan untuk server Azure SQL yang tidak dilindungi | Audit server SQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
Azure Defender untuk SQL harus diaktifkan untuk server fleksibel MySQL yang tidak terlindungi | Mengaudit server fleksibel MySQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk SQL harus diaktifkan untuk server fleksibel PostgreSQL yang tidak terlindungi | Mengaudit server fleksibel PostgreSQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk SQL harus diaktifkan untuk Azure SQL Managed Instance yang tidak terlindungi | Audit setiap SQL Managed Instance tanpa keamanan data tingkat lanjut. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Domain Azure Event Grid harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke domain Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
Topik Azure Event Grid harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke topik Azure Event Grid Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/privateendpoints. | Audit, Dinonaktifkan | 1.0.2 |
Azure Key Vault harus mengaktifkan firewall | Aktifkan firewall brankas kunci agar brankas kunci tidak dapat diakses secara default ke IP publik mana pun. Secara opsional, Anda dapat mengonfigurasi rentang IP tertentu untuk membatasi akses ke jaringan tersebut. Pelajari lebih lanjut di: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Tolak, Dinonaktifkan | 3.2.1 |
Azure Key Vault harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke brankas kunci, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
Kluster Azure Kubernetes Service harus mengaktifkan profil Defender | Microsoft Defender untuk Kontainer menyediakan kemampuan keamanan Kubernetes cloud-native termasuk penguatan lingkungan, perlindungan beban kerja, dan perlindungan run-time. Saat Anda mengaktifkan SecurityProfile.AzureDefender di kluster Azure Kubernetes Service Anda, agen akan disebarkan ke kluster Anda untuk mengumpulkan data peristiwa keamanan. Pelajari selengkapnya tentang Microsoft Defender untuk Kontainer di https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Dinonaktifkan | 2.0.1 |
Instans komputasi Azure Pembelajaran Mesin harus dibuat ulang untuk mendapatkan pembaruan perangkat lunak terbaru | Pastikan instans komputasi Azure Pembelajaran Mesin berjalan pada sistem operasi terbaru yang tersedia. Keamanan ditingkatkan dan kerentanan berkurang dengan menjalankan dengan patch keamanan terbaru. Untuk informasi selengkapnya, kunjungi https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
Azure Pembelajaran Mesin Computes harus berada di jaringan virtual | Azure Virtual Networks menyediakan keamanan dan isolasi yang ditingkatkan untuk Azure Pembelajaran Mesin Kluster dan Instans Komputasi Anda, serta subnet, kebijakan kontrol akses, dan fitur lainnya untuk membatasi akses lebih lanjut. Ketika komputasi dikonfigurasi dengan jaringan virtual, komputasi tidak dapat diatasi secara publik dan hanya dapat diakses dari komputer virtual dan aplikasi dalam jaringan virtual. | Audit, Dinonaktifkan | 1.0.1 |
Azure Pembelajaran Mesin Computes harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa komputasi Pembelajaran Mesin memerlukan identitas Azure Active Directory secara eksklusif untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/azure-ml-aad-policy. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Ruang kerja Azure Machine Learning harus dienkripsi dengan kunci yang dikelola pelanggan | Kelola enkripsi pada data ruang kerja Azure Machine Learning lainnya dengan kunci yang dikelola pelanggan. Secara default, data pelanggan dienkripsi dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan umumnya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/azureml-workspaces-cmk. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Ruang Kerja Azure Pembelajaran Mesin harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa ruang kerja Pembelajaran Mesin tidak terekspos di internet publik. Anda dapat mengontrol paparan ruang kerja Anda dengan membuat titik akhir privat sebagai gantinya. Pelajari lebih lanjut di: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
Ruang kerja Azure Machine Learning harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke ruang kerja Azure Machine Learning, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Dinonaktifkan | 1.0.0 |
Server fleksibel Azure MySQL harus mengaktifkan Autentikasi Microsoft Entra Only | Menonaktifkan metode autentikasi lokal dan hanya mengizinkan Microsoft Entra Authentication meningkatkan keamanan dengan memastikan bahwa server fleksibel Azure MySQL dapat diakses secara eksklusif oleh identitas Microsoft Entra. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Add-on Azure Policy untuk layanan Kube (AKS) harus dipasang dan diaktifkan di kluster Anda | Azure Policy Add-on for Kubernetes service (AKS) memperluas Gatekeeper v3, webhook pengontrol penerimaan untuk Open Policy Agent (OPA), untuk menerapkan penegakan dan pengamanan skala besar pada klaster Anda secara terpusat dan konsisten. | Audit, Dinonaktifkan | 1.0.2 |
Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Layanan Azure SignalR harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform tautan privat menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya Layanan Azure SignalR alih-alih seluruh layanan, Anda akan mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/asrs/privatelink. | Audit, Dinonaktifkan | 1.0.0 |
Azure Spring Cloud harus menggunakan injeksi jaringan | Instans Azure Spring Cloud harus menggunakan injeksi jaringan virtual untuk tujuan berikut: 1. Pisahkan Azure Spring Cloud dari Internet. 2. Aktifkan Azure Spring Cloud untuk berinteraksi dengan sistem baik di pusat data lokal atau layanan Azure di jaringan virtual lainnya. 3. Berdayakan pelanggan untuk mengontrol komunikasi jaringan masuk dan keluar untuk Azure Spring Cloud. | Audit, Dinonaktifkan, Tolak | 1.2.0 |
Azure SQL Database harus menjalankan TLS versi 1.2 atau yang lebih baru | Mengatur versi TLS ke 1.2 atau yang lebih baru akan meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari klien yang menggunakan TLS 1.2 atau yang lebih baru. Menggunakan versi TLS kurang dari 1.2 tidak disarankan karena mereka memiliki kerentanan keamanan yang terdokumentasi dengan baik. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
Azure SQL Database harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan server logis Azure SQL menggunakan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir server agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure SQL Database harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan server logis Azure SQL dibuat dengan autentikasi khusus Microsoft Entra. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
Azure SQL Managed Instance harus mengaktifkan autentikasi khusus Microsoft Entra | Mengharuskan Azure SQL Managed Instance menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir instans Terkelola Azure SQL agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure SQL Managed Instance harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik (titik akhir publik) pada Azure SQL Managed Instance meningkatkan keamanan dengan memastikan bahwa mereka hanya dapat diakses dari dalam jaringan virtual mereka atau melalui Titik Akhir Privat. Untuk mempelajari selengkapnya akses jaringan publik, kunjungi https://aka.ms/mi-public-endpoint. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Azure SQL Managed Instances harus mengaktifkan autentikasi Microsoft Entra-only selama pembuatan | Mengharuskan Azure SQL Managed Instance dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/adonlycreate. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Sertifikat harus memiliki masa berlaku maksimum yang ditentukan | Kelola persyaratan kepatuhan organisasi Anda dengan menentukan durasi masa berlaku sertifikat dalam brankas kunci. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 2.2.1 |
Pendaftaran penampung harus dienkripsi dengan kunci yang dikelola pelanggan | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi tidak aktif di seluruh isi disk terkelola Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kontrol dan tanggung jawab penuh atas siklus hidup kunci, termasuk perputaran dan manajemen. Pelajari lebih lanjut di https://aka.ms/acr/CMK. | Audit, Tolak, Dinonaktifkan | 1.1.2 |
Registri kontainer tidak boleh mengizinkan akses jaringan yang tidak terbatas | Azure container registry secara default menerima koneksi melalui internet dari host di jaringan apa pun. Untuk melindungi registri Anda dari potensi ancaman, izinkan akses hanya dari titik akhir privat tertentu, alamat IP publik atau rentang alamat tertentu. Jika registri Anda tidak memiliki aturan jaringan yang dikonfigurasi, registri akan muncul di sumber daya yang tidak sehat. Pelajari selengkapnya tentang aturan jaringan Container Registry di sini: https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network dan https://aka.ms/acr/vnet. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Registri kontainer harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform private link menangani konektivitas antara konsumen dan layanan melalui jaringan Azure backbone.Dengan memetakan titik akhir pribadi ke container registry Anda alih-alih seluruh layanan, Anda juga akan terlindungi dari risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/acr/private-link. | Audit, Dinonaktifkan | 1.0.1 |
Akun database Cosmos DB harus menonaktifkan metode autentikasi lokal | Menonaktifkan metode autentikasi lokal akan meningkatkan keamanan dengan memastikan bahwa registri kontainer secara eksklusif mewajibkan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya di: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Akun CosmosDB harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan utama Azure. Dengan memetakan titik akhir privat ke akun CosmosDB Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Dinonaktifkan | 1.0.0 |
Log diagnostik di sumber daya layanan Azure AI harus diaktifkan | Aktifkan log untuk sumber daya layanan Azure AI. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi, ketika insiden keamanan terjadi atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
Terapkan koneksi SSL harus diaktifkan untuk server database MySQL | Azure Database for MySQL mendukung koneksi server Azure Database for MySQL Anda ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
Terapkan koneksi SSL harus diaktifkan untuk server database PostgreSQL | Azure Database for PostgreSQL mendukung penyambungan server Azure Database for PostgreSQL ke aplikasi klien menggunakan Secure Sockets Layer (SSL). Menerapkan koneksi SSL antara server database Anda dan aplikasi klien Anda membantu melindungi dari serangan 'man in the middle' dengan mengenkripsi aliran data antara server dan aplikasi Anda. Konfigurasi ini memberlakukan bahwa SSL selalu diaktifkan untuk mengakses server database Anda. | Audit, Dinonaktifkan | 1.0.1 |
Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
Cadangan geo-redundan harus diaktifkan pada Azure Database for MariaDB | Azure Database for MariaDB memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for MySQL | Azure Database for MySQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
Pencadangan geo-redundan harus diaktifkan untuk Azure Database for PostgreSQL | Azure Database for PostgreSQL memungkinkan Anda memilih opsi redundansi untuk server database Anda. Ini dapat diatur ke penyimpanan cadangan geo-redundan di mana data tidak hanya disimpan dalam wilayah di mana server Anda di-host, tetapi juga direplikasi ke wilayah berpasangan untuk memberikan opsi pemulihan jika terjadi kegagalan wilayah. Mengonfigurasi penyimpanan geo-redundan untuk pencadangan hanya diperbolehkan selama pembuatan server. | Audit, Dinonaktifkan | 1.0.1 |
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Kunci Azure Key Vault harus memiliki tanggal kedaluwarsa | Kunci kriptografi harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak permanen. Kunci yang valid selamanya memberikan lebih banyak waktu bagi penyerang potensial untuk menyusupi kunci tersebut. Menetapkan tanggal kedaluwarsa pada kunci kriptografi adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Rahasia Azure Key Vault harus memiliki tanggal kedaluwarsa | Rahasia harus memiliki tanggal kedaluwarsa yang ditentukan dan tidak bersifat permanen. Rahasia yang berlaku selamanya memberi lebih banyak waktu kepada penyerang potensial untuk menyusupinya. Menetapkan tanggal kedaluwarsa pada rahasia adalah praktik keamanan yang direkomendasikan. | Audit, Tolak, Dinonaktifkan | 1.0.2 |
Brankas kunci harus mengaktifkan perlindungan penghapusan | Penghapusan brankas kunci yang berbahaya dapat menyebabkan hilangnya data secara permanen. Anda dapat mencegah kehilangan data permanen dengan mengaktifkan perlindungan penghapusan menyeluruh dan penghapusan sementara. Perlindungan penghapusan menyeluruh melindungi Anda dari serangan orang dalam dengan memberlakukan periode retensi wajib untuk brankas kunci yang dihapus sementara. Tidak ada seorang pun di dalam organisasi Anda atau Microsoft yang dapat membersihkan brankas kunci Anda selama periode penyimpanan penghapusan sementara. Perlu diingat bahwa brankas kunci yang dibuat setelah 1 September 2019 mengaktifkan penghapusan sementara secara default. | Audit, Tolak, Dinonaktifkan | 2.1.0 |
Brankas kunci harus mengaktifkan penghapusan sementara | Menghapus brankas kunci tanpa mengaktifkan penghapusan sementara akan menghapus semua rahasia, kunci, dan sertifikat yang disimpan di brankas kunci secara permanen. Penghapusan brankas kunci secara tidak sengaja dapat menyebabkan hilangnya data secara permanen. Penghapusan sementara memungkinkan Anda memulihkan brankas kunci yang terhapus secara tidak sengaja untuk periode retensi yang dapat dikonfigurasi. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
Batas sumber daya memori dan CPU kontainer kluster Kube tidak boleh melebihi batas yang ditetapkan | Terapkan batas sumber daya CPU dan memori kontainer untuk mencegah serangan kehabisan sumber daya di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
Wadah klaster Kubernetes tidak boleh berbagi ID proses host atau namespace IPC host | Blokir kontainer pod agar tidak membagikan namespace ID proses host dan namespace IPC host di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.2 dan CIS 5.2.3 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.2.0 |
Kontainer kluster Kube hanya boleh menggunakan profil AppArmor yang diizinkan | Container hanya boleh menggunakan profil AppArmor yang diizinkan di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Kontainer kluster Kube hanya boleh menggunakan kemampuan yang diizinkan | Batasi kemampuan untuk mengurangi permukaan serangan kontainer di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.8 dan CIS 5.2.9 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Kontainer kluster Kube hanya boleh menggunakan gambar yang diizinkan | Gunakan gambar dari registry tepercaya untuk mengurangi risiko paparan kluster Kubernetes terhadap kerentanan yang tidak diketahui, masalah keamanan, dan gambar berbahaya. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.3.0 |
Kontainer kluster Kube harus dijalankan dengan sistem file akar baca saja | Jalankan kontainer dengan sistem file root hanya baca untuk melindungi dari perubahan saat run-time dengan binari berbahaya yang ditambahkan ke PATH di kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.3.0 |
Volume hostPath pod kluster Kube hanya boleh menggunakan jalur host yang diizinkan | Batasi mount volume HostPath pod ke jalur host yang diizinkan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Pod dan kontainer kluster Kube hanya boleh dijalankan dengan ID pengguna dan grup yang disetujui | Kontrol ID pengguna, grup utama, grup tambahan, dan grup sistem file yang dapat digunakan pod dan kontainer untuk dijalankan di Cluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Pod kluster Kube hanya boleh menggunakan jaringan host dan rentang port yang disetujui | Batasi akses pod ke jaringan host dan rentang port host yang diizinkan di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.4 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 6.2.0 |
Layanan kluster Kube hanya boleh mendengarkan port yang diizinkan | Batasi layanan untuk mendengarkan hanya pada port yang diizinkan untuk mengamankan akses ke kluster Kubernetes. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Kluster Kube seharusnya tidak mengizinkan kontainer dengan hak istimewa | Jangan izinkan pembuatan kontainer yang diistimewakan di kluster Kubernetes. Rekomendasi ini merupakan bagian dari CIS 5.2.1 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 9.2.0 |
Cluster Kubernetes hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. Kemampuan ini saat ini umumnya tersedia untuk Kubernetes Service (AKS), dan dalam pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk info selengkapnya, kunjungi https://aka.ms/kubepolicydoc | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 8.2.0 |
Kluster Kube harus menonaktifkan pemasangan otomatis info masuk API | Nonaktifkan pemasangan otomatis info masuk API untuk mencegah sumber daya Pod yang berpotensi disusupi untuk menjalankan perintah API terhadap kluster Kube. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
Kluster Kubernetes tidak boleh mengizinkan eskalasi hak istimewa kontainer | Jangan izinkan kontainer berjalan dengan eskalasi hak istimewa untuk melakukan root di kluster Kubernetes. Rekomendasi ini adalah bagian dari CIS 5.2.5 yang dimaksudkan untuk meningkatkan keamanan lingkungan Kubernetes Anda. Kebijakan ini umumnya tersedia untuk Kubernetes Service (AKS), dan pratinjau untuk Kubernetes dengan dukungan Azure Arc. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 7.2.0 |
Kluster Kube tidak boleh memberi kemampuan keamanan CAP_SYS_ADMIN | Untuk mengurangi permukaan serangan kontainer Anda, batasi kemampuan CAP_SYS_ADMIN Linux. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 5.1.0 |
Kluster Kube tidak boleh menggunakan namespace layanan default | Cegah penggunaan namespace layanan default di kluster Kub untuk melindungi akses tidak diotorisasi untuk jenis sumber daya ConfigMap, Pod, Secret, Service, dan ServiceAccount. Untuk informasi selengkapnya, lihat https://aka.ms/kubepolicydoc. | audit, Audit, tolak, Tolak, dinonaktifkan, Dinonaktifkan | 4.2.0 |
Mesin Linux harus memenuhi persyaratan untuk dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.2.0 |
Komputer virtual Linux harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost. | Meskipun OS komputer virtual dan disk data dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola platform; disk sumber daya (disk sementara), cache data, dan data yang mengalir antara sumber daya Komputasi dan Penyimpanan tidak dienkripsi. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk memulihkan. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.2.1 |
Komputer harus dikonfigurasi untuk memeriksa pembaruan sistem yang hilang secara berkala | Untuk memastikan penilaian berkala terhadap pembaruan sistem yang hilang dipicu secara otomatis setiap 24 jam, properti AssessmentMode harus diatur ke 'AutomaticByPlatform'. Pelajari selengkapnya tentang properti AssessmentMode untuk Windows: https://aka.ms/computevm-windowspatchassessmentmode, untuk Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Tolak, Dinonaktifkan | 3.7.0 |
Mesin harus memiliki temuan rahasia yang diselesaikan | Mengaudit komputer virtual untuk mendeteksi apakah mereka berisi temuan rahasia dari solusi pemindaian rahasia di komputer virtual Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Microsoft Defender CSPM harus diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Microsoft Defender untuk API harus diaktifkan | Microsoft Defender untuk API menghadirkan penemuan, perlindungan, deteksi, & cakupan respons baru untuk memantau serangan berbasis API umum & kesalahan konfigurasi keamanan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Microsoft Defender untuk SQL harus diaktifkan bagi ruang kerja Synapse yang tidak dilindungi | Aktifkan Defender untuk SQL untuk melindungi ruang kerja Synapse Anda. Defender untuk SQL memantau SQL Synapse Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Status Pertahanan Microsoft untuk SQL harus dilindungi untuk SQL Server dengan dukungan Arc | Pertahanan Microsoft untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database SQL, menemukan dan mengklasifikasikan data sensitif. Setelah diaktifkan, status perlindungan menunjukkan bahwa sumber daya dipantau secara aktif. Bahkan ketika Defender diaktifkan, beberapa pengaturan konfigurasi harus divalidasi pada agen, mesin, ruang kerja, dan server SQL untuk memastikan perlindungan aktif. | Audit, Dinonaktifkan | 1.0.1 |
Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Server MySQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server MySQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
Network Watcher harus diaktifkan | Network Watcher adalah layanan regional yang memungkinkan Anda memantau dan mendiagnosis kondisi pada tingkat skenario jaringan di, ke, dan dari Azure. Pemantauan tingkat skenario memungkinkan Anda mendiagnosis masalah pada tampilan tingkat jaringan ujung ke ujung. Diperlukan untuk memiliki grup sumber daya pengawas jaringan untuk dibuat di setiap wilayah tempat jaringan virtual berada. Pemberitahuan diaktifkan jika grup sumber daya pengawas jaringan tidak tersedia di wilayah tertentu. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Hanya koneksi aman ke Azure Cache for Redis Anda yang harus diaktifkan | Audit memungkinkan hanya koneksi melalui SSL ke Azure Cache for Redis. Penggunaan koneksi aman memastikan autentikasi antara server dan layanan serta melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Server PostgreSQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Gunakan kunci yang dikelola pelanggan untuk mengelola enkripsi yang tidak aktif dari server PostgreSQL Anda. Secara default, data dienkripsi saat tidak aktif dengan kunci yang dikelola layanan, tetapi kunci yang dikelola pelanggan biasanya diperlukan untuk memenuhi standar kepatuhan peraturan. Kunci yang dikelola pelanggan memungkinkan data dienkripsi dengan kunci Azure Key Vault yang dibuat dan dimiliki oleh Anda. Anda memiliki kendali dan tanggung jawab penuh atas siklus hidup utama, termasuk rotasi dan manajemen. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
Koneksi titik akhir pribadi di Azure SQL Database harus diaktifkan | Koneksi titik akhir privat menerapkan komunikasi yang aman dengan mengaktifkan konektivitas privat ke Azure SQL Database. | Audit, Dinonaktifkan | 1.1.0 |
Titik akhir privat harus diaktifkan untuk server MariaDB | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MariaDB. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Titik akhir pribadi harus diaktifkan untuk server MySQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for MySQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Titik akhir pribadi harus diaktifkan untuk server PostgreSQL | Koneksi titik akhir pribadi menerapkan komunikasi yang aman dengan mengaktifkan konektivitas pribadi ke Azure Database for PostgreSQL. Mengonfigurasi koneksi titik akhir privat untuk memungkinkan akses ke lalu lintas hanya berasal dari jaringan yang diketahui dan mencegah akses dari semua alamat IP lainnya, termasuk di dalam Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Akses jaringan publik di Azure SQL Database harus dinonaktifkan | Menonaktifkan properti akses jaringan publik meningkatkan keamanan dengan memastikan Azure SQL Database Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Akses jaringan publik harus dinonaktifkan untuk server MariaDB | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MariaDB Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Akses jaringan publik harus dinonaktifkan untuk server MySQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for MySQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini secara ketat menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menyangkal semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Akses jaringan publik harus dinonaktifkan untuk server PostgreSQL | Nonaktifkan properti akses jaringan publik untuk meningkatkan keamanan dan memastikan Azure Database for PostgreSQL Anda hanya dapat diakses dari titik akhir pribadi. Konfigurasi ini menonaktifkan akses dari ruang alamat publik mana pun di luar rentang IP Azure, dan menolak semua login yang cocok dengan IP atau aturan firewall berbasis jaringan virtual. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
Log sumber daya di Azure Data Lake Store harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Ruang Kerja Azure Databricks harus diaktifkan | Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Log sumber daya dalam Azure Kubernetes Service harus diaktifkan | Log sumber daya Azure Kubernetes Service dapat membantu menciptakan kembali jalur aktivitas saat menyelidiki insiden keamanan. Aktifkan untuk memastikan log akan ada saat dibutuhkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Log sumber daya di Azure Pembelajaran Mesin Workspaces harus diaktifkan | Log sumber daya memungkinkan pembuatan ulang jejak aktivitas untuk digunakan untuk tujuan investigasi ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Log sumber daya di Azure Stream Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di akun Azure Batch harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Data Lake Analytics harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Event Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Azure IoT Hub harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Log sumber daya di Key Vault harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda membuat ulang jejak aktivitas yang akan digunakan untuk penyelidikan saat terjadi insiden keamanan atau jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Logic Apps harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.1.0 |
Log sumber daya di layanan Pencarian harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Log sumber daya di Azure Service Bus harus diaktifkan | Catatan sumber daya dengan audit yang diaktifkan. Hal ini memungkinkan Anda untuk membuat ulang jejak aktivitas untuk digunakan sebagai tujuan penyelidikan, ketika insiden keamanan terjadi atau ketika jaringan Anda disusupi | AuditIfNotExists, Dinonaktifkan | 5.0.0 |
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.4 |
Transfer aman ke akun penyimpanan harus diaktifkan | Persyaratan audit Transfer aman di akun penyimpanan Anda. Transfer aman adalah opsi yang memaksa akun penyimpanan Anda untuk menerima permintaan hanya dari koneksi aman (HTTPS). Penggunaan HTTPS memastikan autentikasi antara server dan layanan dan melindungi data dalam perjalanan dari serangan lapisan jaringan seperti man-in-the-middle, eavesdropping, dan session-hijacking | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Kluster Service Fabric harus memiliki properti ClusterProtectionLevel yang disetel ke EncryptAndSign | Service Fabric menyediakan tiga tingkat perlindungan (None, Sign, dan EncryptAndSign) untuk komunikasi node-to-node menggunakan sertifikat kluster utama. Atur tingkat perlindungan untuk memastikan bahwa semua pesan node-to-node dienkripsi dan ditandatangani secara digital | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Kluster Service Fabric hanya boleh menggunakan Azure Active Directory untuk autentikasi klien | Audit penggunaan autentikasi klien hanya melalui Azure Active Directory di Service Fabric | Audit, Tolak, Dinonaktifkan | 1.1.0 |
Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
ISQL managed instances harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data yang tidak aktif | Implementasi Enkripsi Data Transparan (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Provisi otomatis yang ditargetkan server SQL harus diaktifkan untuk server SQL pada paket komputer | Untuk memastikan komputer virtual SQL dan SQL Server berkemampuan Arc Anda dilindungi, pastikan Azure Monitoring Agent yang ditargetkan SQL dikonfigurasi untuk disebarkan secara otomatis. Ini juga diperlukan jika sebelumnya Anda telah mengonfigurasi provisi otomatis Agen Pemantauan Microsoft, karena komponen tersebut tidak digunakan lagi. Pelajari selengkapnya: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan | Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Server SQL harus menggunakan kunci yang dikelola pelanggan untuk mengenkripsi data saat tidak aktif | Implementasi Transparent Data Encryption (TDE) dengan kunci Anda sendiri memberikan transparansi dan kontrol yang lebih baik atas Pelindung TDE, keamanan yang lebih baik dengan layanan eksternal yang didukung HSM, dan promosi pemisahan tugas. Rekomendasi ini berlaku untuk organisasi dengan persyaratan kepatuhan terkait. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
Server SQL dengan audit ke tujuan akun penyimpanan harus dikonfigurasi dengan retensi 90 hari atau lebih tinggi | Untuk tujuan penyelidikan insiden, kami menyarankan pengaturan retensi data untuk audit SQL Server Anda ke tujuan akun penyimpanan setidaknya 90 hari. Konfirmasikan bahwa Anda memenuhi aturan retensi yang diperlukan untuk wilayah tempat Anda beroperasi. Ini terkadang diperlukan untuk memenuhi standar peraturan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Akun penyimpanan harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk akun penyimpanan Anda guna memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penyebaran dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Akun penyimpanan harus mencegah akses kunci secara bersama | Persyaratan audit Azure Active Directory (Azure AD) untuk mengotorisasi permintaan untuk akun penyimpanan Anda. Secara default, permintaan dapat diotorisasi dengan kredensial Azure Active Directory (Azure AD), atau dengan menggunakan kunci akses akun untuk otorisasi Kunci Bersama. Dari kedua jenis otorisasi ini, Azure AD menyediakan keamanan yang unggul dan kemudahan penggunaan melalui Kunci Bersama, dan direkomendasikan oleh Microsoft. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Akun penyimpanan harus membatasi akses jaringan | Akses jaringan ke akun penyimpanan harus dibatasi. Konfigurasikan aturan jaringan sehingga hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses akun penyimpanan. Untuk mengizinkan koneksi dari internet tertentu atau klien lokal, akses dapat diberikan ke lalu lintas dari jaringan virtual Azure tertentu atau ke rentang alamat IP internet publik | Audit, Tolak, Dinonaktifkan | 1.1.1 |
Akun penyimpanan harus membatasi akses jaringan menggunakan aturan jaringan virtual | Lindungi akun penyimpanan Anda dari potensi ancaman menggunakan aturan jaringan virtual sebagai metode pilihan alih-alih pemfilteran berbasis IP. Menonaktifkan pemfilteran berbasis IP mencegah IP publik mengakses akun penyimpanan Anda. | Audit, Tolak, Dinonaktifkan | 1.0.1 |
Akun penyimpanan harus menggunakan kunci yang dikelola pelanggan untuk enkripsi | Amankan akun penyimpanan blob dan file Anda dengan fleksibilitas yang lebih besar menggunakan kunci yang dikelola pelanggan. Saat Anda menentukan kunci yang dikelola pelanggan, kunci tersebut digunakan untuk melindungi dan mengontrol akses ke kunci yang mengenkripsi data Anda. Menggunakan kunci yang dikelola pelanggan memberikan kemampuan tambahan untuk mengontrol rotasi kunci enkripsi kunci atau menghapus data secara kriptografis. | Audit, Dinonaktifkan | 1.0.3 |
Akun penyimpanan harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menghubungkan jaringan virtual Anda ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke akun penyimpanan Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan pribadi di - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Ruang Kerja Synapse harus mengaktifkan autentikasi Microsoft Entra-only | Mengharuskan Ruang Kerja Synapse menggunakan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir ruang kerja agar tidak dibuat dengan autentikasi lokal diaktifkan. Ini memblokir autentikasi lokal agar tidak diaktifkan pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Ruang Kerja Synapse hanya boleh menggunakan identitas Microsoft Entra untuk autentikasi selama pembuatan ruang kerja | Mengharuskan Ruang Kerja Synapse dibuat dengan autentikasi Microsoft Entra-only. Kebijakan ini tidak memblokir autentikasi lokal agar tidak diaktifkan kembali pada sumber daya setelah dibuat. Pertimbangkan untuk menggunakan inisiatif 'Autentikasi khusus Microsoft Entra' sebagai gantinya untuk mewajibkan keduanya. Pelajari selengkapnya di: https://aka.ms/Synapse. | Audit, Tolak, Dinonaktifkan | 1.2.0 |
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan) | Komputer Anda tidak memiliki sistem, keamanan, dan pembaruan penting. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Enkripsi Data Transparan pada database SQL harus diaktifkan | Enkripsi data transparan harus diaktifkan untuk melindungi data-yang-tidak-aktif dan memenuhi persyaratan kepatuhan | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Komputer virtual dan set skala komputer virtual harus mengaktifkan enkripsi pada host | Menggunakan enkripsi di host guna mendapatkan enkripsi end-to-end untuk komputer virtual dan data set skala komputer virtual. Enkripsi di host memungkinkan enkripsi saat tidak digunakan untuk disk sementara dan cache disk OS/data. Disk OS sementara dan tentatif akan dienkripsi dengan kunci yang dikelola platform saat enkripsi di host diaktifkan. Cache disk OS/data dienkripsi saat tidak digunakan dengan kunci yang dikelola pelanggan atau dikelola platform, bergantung pada jenis enkripsi yang dipilih pada disk. Pelajari lebih lanjut di https://aka.ms/vm-hbe. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Komputer virtual harus dimigrasikan ke sumber daya Azure Resource Manager baru | Gunakan Azure Resource Manager baru untuk komputer virtual Anda untuk memberikan peningkatan keamanan seperti: kontrol akses yang lebih kuat (RBAC), audit yang lebih baik, penerapan dan tata kelola berbasis Azure Resource Manager, akses ke identitas terkelola, akses ke brankas kunci untuk rahasia, berbasis Azure Active Directory autentikasi dan dukungan untuk tag dan grup sumber daya untuk manajemen keamanan yang lebih mudah | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Ekstensi Konfigurasi Tamu komputer virtual harus diterapkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Template Pembuat Gambar VM harus menggunakan tautan pribadi | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir pribadi ke sumber daya bangunan VM Image Builder Anda, risiko kebocoran data berkurang. Pelajari selengkapnya tentang tautan privat di: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
Gateway VPN hanya boleh menggunakan autentikasi Azure Active Directory (Azure AD) untuk pengguna titik-ke-situs | Menonaktifkan metode autentikasi lokal meningkatkan keamanan dengan memastikan bahwa Gateway VPN hanya menggunakan identitas Azure Active Directory untuk autentikasi. Pelajari selengkapnya tentang autentikasi Azure Active Directory di https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Tolak, Dinonaktifkan | 1.0.0 |
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Penilaian kerentanan harus diaktifkan di SQL Managed Instance | Audit setiap Instans Terkelola SQL yang tidak mengaktifkan pemindaian penilaian kerentanan berulang. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Penilaian kerentanan harus diaktifkan di server SQL Anda | Audit server Azure SQL yang tidak memiliki penilaian kerentanan yang dikonfigurasi dengan benar. Penilaian kerentanan dapat menemukan, melacak, dan membantu Anda meremediasi kerentanan database potensial. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Web Application Firewall (WAF) harus diaktifkan untuk Azure Application Gateway | Menyebarkan Azure Web Application Firewall (WAF) di depan aplikasi web yang menghadap publik untuk pemeriksaan tambahan lalu lintas masuk. Web Application Firewall (WAF) memberikan perlindungan terpusat dari aplikasi web Anda dari eksploitasi umum dan kerentanan seperti injeksi SQL, Cross-Site Scripting, eksekusi file lokal dan jarak jauh. Anda juga dapat membatasi akses ke aplikasi web Anda berdasarkan negara, rentang alamat IP, dan parameter http lainnya melalui aturan kustom. | Audit, Tolak, Dinonaktifkan | 2.0.0 |
Windows Defender Exploit Guard harus diaktifkan di komputer Anda | Windows Defender Exploit Guard menggunakan agen Konfigurasi Tamu Azure Policy. Exploit Guard memiliki empat komponen yang dirancang untuk mengunci perangkat dari berbagai vektor serangan dan memblokir perilaku yang biasa digunakan dalam serangan malware sekaligus memungkinkan perusahaan untuk menyeimbangkan risiko keamanan dan persyaratan produktivitas (khusus Windows). | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Komputer Windows harus dikonfigurasi untuk menggunakan protokol komunikasi yang aman | Untuk melindungi privasi informasi yang dikomunikasikan melalui Internet, komputer Anda harus menggunakan versi terbaru protokol kriptografi standar industri, Keamanan Lapisan Transportasi (TLS). TLS mengamankan komunikasi melalui jaringan dengan mengenkripsi koneksi antar mesin. | AuditIfNotExists, Dinonaktifkan | 4.1.1 |
Mesin Windows harus memenuhi persyaratan dasar keamanan komputasi Azure | Mengharuskan prasyarat disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. Mesin tidak sesuai jika mesin tidak dikonfigurasi dengan benar untuk salah satu rekomendasi di dasar keamanan komputasi Azure. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Komputer virtual Windows harus mengaktifkan Azure Disk Encryption atau EncryptionAtHost. | Meskipun OS komputer virtual dan disk data dienkripsi saat tidak aktif secara default menggunakan kunci yang dikelola platform; disk sumber daya (disk sementara), cache data, dan data yang mengalir antara sumber daya Komputasi dan Penyimpanan tidak dienkripsi. Gunakan Azure Disk Encryption atau EncryptionAtHost untuk memulihkan. Kunjungi https://aka.ms/diskencryptioncomparison untuk membandingkan penawaran enkripsi. Kebijakan ini memerlukan dua prasyarat untuk disebarkan ke cakupan penetapan kebijakan. Untuk detailnya, kunjungi https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.1.1 |
Kategori Microsoft Defender untuk Cloud
Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
---|---|---|---|
[Pratinjau]: Agen Keamanan Azure harus diinstal pada komputer Linux Arc Anda | Instal agen Azure Security pada mesin Linux Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Agen Azure Security harus terpasang pada set skala mesin virtual Linux And | Instal agen Azure Security pada set skala mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Agen Azure Security harus terpasang pada mesin virtual Linux Anda | Instal agen Azure Security di mesin virtual Linux Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Agen Keamanan Azure harus diinstal pada komputer Windows Arc Anda | Instal agen Azure Security pada mesin Windows Arc Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Agen Azure Security harus terpasang pada set skala mesin virtual Windows Anda | Instal agen Azure Security pada set skala mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.1.0 |
[Pratinjau]: Agen Azure Security harus terpasang pada mesin virtual Windows Anda | Instal agen Azure Security di mesin virtual Windows Anda untuk memantau konfigurasi dan kerentanan keamanan mesin Anda. Hasil penilaian dapat dilihat dan dikelola di Azure Security Center. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.1.0 |
[Pratinjau]: Ekstensi ChangeTracking harus dipasang di komputer Linux Arc Anda | Instal Ekstensi ChangeTracking di mesin Arc Linux untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Ekstensi ChangeTracking harus diinstal di mesin virtual Linux Anda | Instal ChangeTracking Extension di mesin virtual Linux untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Ekstensi ChangeTracking harus diinstal di set skala mesin virtual Linux Anda | Instal Ekstensi ChangeTracking di set skala mesin virtual Linux untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Ekstensi ChangeTracking harus dipasang di komputer Windows Arc Anda | Instal Ekstensi ChangeTracking di mesin Arc Windows untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Ekstensi ChangeTracking harus diinstal di mesin virtual Windows Anda | Instal Ekstensi ChangeTracking di mesin virtual Windows untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Ekstensi ChangeTracking harus diinstal di set skala mesin virtual Windows Anda | Instal Ekstensi ChangeTracking di set skala mesin virtual Windows untuk mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Pemantauan Azure. | AuditIfNotExists, Dinonaktifkan | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Azure Defender untuk agen SQL di mesin virtual | Mengonfigurasi komputer Windows untuk memasang Azure Defender secara otomatis untuk agen SQL tempat Agen Azure Monitor dipasang. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Membuat grup sumber daya dan ruang kerja Log Analytics di wilayah yang sama dengan komputer. Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin Linux Arc | Konfigurasikan mesin Arc Linux untuk menginstal Ekstensi ChangeTracking secara otomatis agar mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk set skala mesin virtual Linux | Konfigurasi set skala mesin virtual Linux untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin virtual Linux | Konfigurasi mesin virtual Linux untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin Windows Arc | Konfigurasikan mesin Arc Windows untuk menginstal Ekstensi ChangeTracking secara otomatis untuk mengaktifkan Pemantauan Integritas File(FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk set skala mesin virtual Windows | Konfigurasi set skala mesin virtual Windows untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi Ekstensi ChangeTracking untuk mesin virtual Windows | Konfigurasi mesin virtual Windows untuk otomatis menginstal Ekstensi ChangeTracking agar mengaktifkan Pemantauan Integritas File (FIM) di Azure Security Center. FIM memeriksa file sistem operasi, registri Windows, perangkat lunak aplikasi, file sistem Linux, dan lainnya, untuk perubahan yang mungkin mengindikasikan serangan. Ekstensi dapat diinstal di mesin virtual dan lokasi yang didukung oleh Agen Azure Monitor. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan mesin Linux Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Linux Arc target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
[Pratinjau]: Mengonfigurasi set skala mesin virtual Linux yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan set skala mesin virtual Linux yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi set skala mesin virtual Linux yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi set skala komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 6.1.0-pratinjau |
[Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. | DeployIfNotExists, Nonaktif | 5.0.0-pratinjau |
[Pratinjau]: Mengonfigurasi komputer virtual Linux yang didukung untuk menginstal agen Keamanan Azure secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 7.0.0-pratinjau |
[Pratinjau]: Mengonfigurasi mesin virtual Linux yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi komputer virtual Linux yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 7.1.0-preview |
[Pratinjau]: Mengonfigurasi mesin virtual yang didukung untuk mengaktifkan vTPM secara otomatis | Mengonfigurasi komputer virtual yang didukung untuk mengaktifkan vTPM secara otomatis guna memudahkan Boot Terukur dan fitur keamanan lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi komputer Windows Arc yang didukung untuk menginstal agen Keamanan Azure secara otomatis | Konfigurasikan mesin Windows Arc yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Mesin Windows Arc target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
[Pratinjau]: Mengonfigurasi mesin Windows yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan komputer Windows yang didukung untuk menginstal agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Komputer virtual target harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | 5.1.0-pratinjau |
[Pratinjau]: Mengonfigurasi set skala mesin virtual Windows yang didukung untuk menginstal agen Azure Security secara otomatis | Konfigurasikan set skala mesin virtual Windows yang didukung untuk memasang agen Azure Security secara otomatis. Azure Security Center mengumpulkan kejadian dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas penguatan yang disesuaikan (rekomendasi). Target set skala mesin virtual Windows harus berada di lokasi yang didukung. | DeployIfNotExists, Nonaktif | pratinjau-2.1.0 |
[Pratinjau]: Mengonfigurasi set skala mesin virtual Windows yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Mengonfigurasi set skala komputer Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis guna mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 4.1.0-pratinjau |
[Pratinjau]: Mengonfigurasi mesin virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis | Mengonfigurasi komputer virtual Windows yang didukung untuk mengaktifkan Boot Aman secara otomatis guna mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. | DeployIfNotExists, Nonaktif | 3.0.0-pratinjau |
[Pratinjau]: Mengonfigurasi mesin virtual Windows yang didukung untuk menginstal ekstensi Pengesahan Tamu secara otomatis | Konfigurasikan komputer virtual Windows yang didukung untuk memasang ekstensi Pengesahan Tamu secara otomatis untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | 5.1.0-pratinjau |
[Pratinjau]: Mengonfigurasi VM yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu | Mengonfigurasi mesin virtual yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu secara otomatis agar mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | pratinjau-2.0.0 |
[Pratinjau]: Mengonfigurasi VMSS yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tam | Konfigurasikan VMSS yang dibuat dengan citra Shared Image Gallery untuk menginstal ekstensi Pengesahan Tamu secara otomatis agar mengizinkan Azure Security Center mengesahkan dan memantau integritas boot secara proaktif. Integritas boot disahkan melalui Pengesahan Jarak Jauh. | DeployIfNotExists, Nonaktif | pratinjau-2.1.0 |
[Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di mesin komputer Linux hibrid | Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir pada mesin hibrid Linux | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
[Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di mesin virtual Linux | Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir pada gambar VM Linux yang berlaku. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 3.0.0-pratinjau |
[Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di komputer Windows Azure Arc | Sebarkan Pertahanan Microsoft untuk Titik Akhir pada mesin Azure Arc Windows. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
[Pratinjau]: Menyebarkan agen Pertahanan Microsoft untuk Titik Akhir di komputer virtual Windows | Menyebarkan Pertahanan Microsoft untuk Titik Akhir pada gambar VM Windows yang berlaku. | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 2.0.1-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Linux yang didukung | Pasang ekstensi Pengesahan Tamu pada komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 6.0.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Linux yang didukun | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual Linux yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Linux Rahasia. | AuditIfNotExists, Dinonaktifkan | 5.1.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di mesin virtual Windows yang didukung | Instal ekstensi Pengesahan Tamu pada komputer virtual yang didukung guna memungkinkan Azure Security Center membuktikan secara proaktif dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 4.0.0-pratinjau |
[Pratinjau]: Ekstensi Pengesahan Tamu harus diinstal di set skala mesin virtual Windows yang didukung | Pasang ekstensi Pengesahan Tamu pada set skala komputer virtual yang didukung untuk memungkinkan Azure Security Center secara proaktif mengesahkan dan memantau integritas boot. Setelah dipasang, integritas boot akan disahkan melalui Pengesahan Jarak Jauh. Penilaian ini berlaku untuk Peluncuran Tepercaya dan set skala komputer virtual Windows Rahasia. | AuditIfNotExists, Dinonaktifkan | 3.1.0-pratinjau |
[Pratinjau]: Komputer virtual Linux hanya boleh menggunakan komponen boot yang ditandatangani dan tepercaya | Semua komponen boot OS (boot loader, kernel, driver kernel) harus ditandatangani oleh penerbit tepercaya. Defender untuk Cloud telah mengidentifikasi komponen boot OS yang tidak tepercaya pada satu atau beberapa mesin Linux Anda. Untuk melindungi mesin Anda dari komponen yang berpotensi berbahaya, tambahkan ke daftar yang diizinkan atau hapus komponen yang teridentifikasi. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Mesin virtual Linux harus menggunakan Boot Aman | Untuk melindungi dari pemasangan rootkit dan boot kit berbasis malware, aktifkan Boot Aman pada komputer virtual Linux yang didukung. Boot Aman memastikan bahwa hanya sistem operasi dan driver yang ditandatangani yang diizinkan untuk dijalankan. Penilaian ini hanya berlaku untuk komputer virtual Linux yang diinstal Azure Monitor Agent. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Mesin harus menutup port yang mungkin mengekspos vektor serangan | Ketentuan Penggunaan Azure melarang penggunaan layanan Azure dengan cara yang dapat merusak, menonaktifkan, membebani, atau mengganggu server Microsoft, atau jaringan. Port yang diekspos yang diidentifikasi oleh rekomendasi ini harus ditutup untuk keberlanjutan keamanan Anda. Untuk setiap port teridentifikasi, rekomendasi juga memberikan penjelasan tentang potensi ancaman. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: Boot Aman harus diaktifkan pada mesin virtual Windows yang didukung | Aktifkan Boot Aman pada komputer virtual Windows yang didukung untuk mengurangi perubahan berbahaya dan tidak sah pada rantai boot. Setelah diaktifkan, hanya bootloader tepercaya, kernel dan driver kernel yang akan diizinkan untuk dijalankan. Penilaian ini berlaku untuk Peluncuran Tepercaya dan komputer virtual Windows Rahasia. | Audit, Dinonaktifkan | 4.0.0-pratinjau |
[Pratinjau]: Status pengesahan tamu mesin virtual harus dalam keadaan sehat | Pengesahan tamu dilakukan dengan mengirim log tepercaya (TCGLog) ke server pengesahan. Server menggunakan log ini untuk menentukan apakah komponen boot dapat dipercaya. Penilaian ini dimaksudkan untuk mendeteksi kompromi rantai boot yang mungkin merupakan hasil dari infeksi bootkit atau rootkit. Penilaian ini hanya berlaku untuk komputer virtual yang didukung Peluncuran Tepercaya dengan ekstensi Pengesahan Tamu terpasang. | AuditIfNotExists, Dinonaktifkan | 1.0.0-pratinjau |
[Pratinjau]: vTPM harus diaktifkan pada mesin virtual yang didukung | Mengaktifkan perangkat TPM virtual pada komputer virtual yang didukung untuk memfasilitasi Boot Terukur dan fitur keamanan OS lainnya yang memerlukan TPM. Setelah diaktifkan, vTPM dapat digunakan untuk mengesahkan integritas boot. Penilaian ini hanya berlaku untuk komputer virtual yang diaktifkan peluncuran tepercaya. | Audit, Dinonaktifkan | pratinjau-2.0.0 |
Maksimum 3 pemilik harus ditunjuk untuk langganan Anda | Direkomendasikan untuk menetapkan hingga 3 pemilik langganan untuk mengurangi potensi pelanggaran oleh pemilik yang disusupi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Solusi penilaian kerentanan harus diaktifkan pada komputer virtual Anda | Mengaudit komputer virtual untuk mendeteksi apakah mereka menjalankan solusi penilaian kerentanan yang didukung. Komponen inti dari setiap risiko cyber dan program keamanan adalah identifikasi dan analisis kerentanan. Tingkat harga standar Azure Security Center mencakup pemindaian kerentanan untuk komputer virtual Anda tanpa biaya tambahan. Selain itu, Pusat Keamanan dapat secara otomatis menyebarkan alat ini untuk Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Akun dengan izin pemilik pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan izin pemilik untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun dengan izin baca pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak baca istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun dengan izin tulis pada sumber daya Azure harus didukung oleh MFA | Autentikasi Multifaktor (MFA) harus diaktifkan untuk semua akun langganan dengan hak tulis istimewa untuk mencegah pelanggaran akun atau sumber daya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Semua port jaringan harus dibatasi pada grup keamanan jaringan yang terkait dengan komputer virtual Anda | Azure Security Center telah mengidentifikasi beberapa aturan masuk grup keamanan jaringan Anda terlalu permisif. Aturan masuk tidak boleh mengizinkan akses dari rentang 'Apa pun' atau 'Internet'. Ini berpotensi memungkinkan penyerang untuk menargetkan sumber daya Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Titik akhir API di Azure API Management harus diautentikasi | Titik akhir API yang diterbitkan dalam Azure API Management harus menerapkan autentikasi untuk membantu meminimalkan risiko keamanan. Mekanisme autentikasi terkadang diimplementasikan dengan tidak benar atau hilang. Ini memungkinkan penyerang untuk mengeksploitasi kelemahan implementasi dan mengakses data. Pelajari Selengkapnya tentang Ancaman API OWASP untuk Autentikasi Pengguna Rusak di sini: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Titik akhir API yang tidak digunakan harus dinonaktifkan dan dihapus dari layanan Azure API Management | Sebagai praktik terbaik keamanan, titik akhir API yang belum menerima lalu lintas selama 30 hari dianggap tidak digunakan dan harus dihapus dari layanan Azure API Management. Menjaga titik akhir API yang tidak digunakan dapat menimbulkan risiko keamanan kepada organisasi Anda. Ini mungkin API yang seharusnya tidak digunakan lagi dari layanan Azure API Management tetapi mungkin secara tidak sengaja dibiarkan aktif. API tersebut biasanya tidak menerima cakupan keamanan terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Rentang IP resmi harus ditentukan di Layanan Kube | Batasi akses ke API Manajemen Layanan Kube dengan memberikan akses API hanya ke alamat IP dalam rentang tertentu. Disarankan untuk membatasi akses ke rentang IP resmi untuk memastikan bahwa hanya aplikasi dari jaringan yang diizinkan yang dapat mengakses kluster. | Audit, Dinonaktifkan | 2.0.1 |
Azure DDoS Protection harus diaktifkan | Perlindungan DDoS harus diaktifkan untuk semua jaringan virtual dengan subnet yang merupakan bagian dari gateway aplikasi dengan IP publik. | AuditIfNotExists, Dinonaktifkan | 3.0.1 |
Azure Defender untuk App Service harus diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk server Azure SQL Database harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Azure Defender untuk Key Vault harus diaktifkan | Azure Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun key vault. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk database relasional sumber terbuka harus diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk Resource Manager harus diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk server harus diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Azure Defender untuk server SQL pada mesin harus diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Azure Defender untuk SQL harus diaktifkan untuk server fleksibel MySQL yang tidak terlindungi | Mengaudit server fleksibel MySQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Azure Defender untuk SQL harus diaktifkan untuk server fleksibel PostgreSQL yang tidak terlindungi | Mengaudit server fleksibel PostgreSQL tanpa Advanced Data Security | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Gambar kontainer registri Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Mengatasi kerentanan dapat sangat meningkatkan postur keamanan Anda, memastikan gambar aman digunakan sebelum penyebaran. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Gambar kontainer yang menjalankan Azure harus memiliki kerentanan yang diselesaikan (didukung oleh Pengelolaan Kerentanan Microsoft Defender) | Penilaian kerentanan gambar kontainer memindai registri Anda untuk kerentanan (CVE) yang umum diketahui dan memberikan laporan kerentanan terperinci untuk setiap gambar. Rekomendasi ini memberikan visibilitas ke gambar rentan yang saat ini berjalan di kluster Kubernetes Anda. Memulihkan kerentanan dalam gambar kontainer yang saat ini berjalan adalah kunci untuk meningkatkan postur keamanan Anda, secara signifikan mengurangi permukaan serangan untuk beban kerja kontainer Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Akun yang diblokir dengan izin pemilik pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi dengan izin pemilik harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun yang diblokir dengan izin baca dan tulis pada sumber daya Azure harus dihapus | Akun yang tidak digunakan lagi harus dihapus dari langganan Anda. Akun yang tidak digunakan lagi adalah akun yang telah diblokir untuk masuk. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Instans peran Cloud Services (dukungan perpanjangan) harus dikonfigurasi dengan aman | Lindungi instans peran Layanan Cloud Anda (dukungan perpanjangan) dari serangan dengan memastikan Layanan Cloud tidak terpapar pada kerentanan OS apa pun. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Instans peran Azure Cloud Services (dukungan perpanjangan) harus memiliki solusi perlindungan titik akhir yang terpasang | Lindungi instans peran Azure Cloud Services Anda (dukungan perpanjangan) dari ancaman dan kerentanan dengan memastikan solusi perlindungan titik akhir dipasang di Azure Cloud Services. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Instans peran Azure Cloud Services (dukungan perpanjangan) harus memasang pembaruan sistem | Amankan instans peran Azure Cloud Services Anda (dukungan perpanjangan) dengan memastikan keamanan terbaru dan pembaruan penting dipasang di Azure Cloud Services. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Mengonfigurasi Perlindungan Ancaman Tingkat Lanjut untuk diaktifkan pada database Azure untuk server fleksibel MySQL | Aktifkan Perlindungan Ancaman Tingkat Lanjut pada server fleksibel Azure database for MySQL Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi Perlindungan Ancaman Tingkat Lanjut untuk diaktifkan pada server fleksibel Azure database for PostgreSQL | Aktifkan Perlindungan Ancaman Tingkat Lanjut pada server fleksibel Azure database for PostgreSQL Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | DeployIfNotExists, Nonaktif | 1.1.0 |
Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Agen Azure Monitor secara otomatis | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di SQL Server dengan dukungan Windows Arc Anda. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.3.0 |
Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL secara otomatis | Konfigurasikan SQL Server dengan dukungan Windows Arc untuk menginstal agen Pertahanan Microsoft untuk SQL secara otomatis. Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). | DeployIfNotExists, Nonaktif | 1.2.0 |
Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Microsoft Defender untuk SQL dan DCR secara otomatis dengan ruang kerja Analitik Log | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya, Aturan Pengumpulan Data, dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.5.0 |
Mengonfigurasi SQL Server dengan dukungan Arc untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja LA yang ditentukan pengguna | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan Aturan Pengumpulan Data di wilayah yang sama dengan ruang kerja Analitik Log yang ditentukan pengguna. | DeployIfNotExists, Nonaktif | 1.7.0 |
Mengonfigurasi SQL Server dengan dukungan Arc dengan Asosiasi Aturan Pengumpulan Data ke Pertahanan Microsoft untuk SQL DCR | Konfigurasikan hubungan antara SQL Server dengan dukungan Arc dan Microsoft Defender untuk SQL DCR. Menghapus asosiasi ini akan memutus deteksi kerentanan keamanan untuk SQL Server berkemampuan Arc ini. | DeployIfNotExists, Nonaktif | 1.1.0 |
Mengonfigurasi SQL Server dengan dukungan Arc dengan Asosiasi Aturan Pengumpulan Data ke Pertahanan Microsoft untuk DCR yang ditentukan pengguna SQL | Konfigurasikan asosiasi antara SQL Server dengan dukungan Arc dan Pertahanan Microsoft untuk DCR yang ditentukan pengguna SQL. Menghapus asosiasi ini akan memutus deteksi kerentanan keamanan untuk SQL Server berkemampuan Arc ini. | DeployIfNotExists, Nonaktif | 1.3.0 |
Mengonfigurasi Azure Defender untuk Layanan Aplikasi agar diaktifkan | Azure Defender for App Service memanfaatkan skala cloud, dan visibilitas yang dimiliki Azure sebagai penyedia cloud, untuk memantau serangan aplikasi web umum. | DeployIfNotExists, Nonaktif | 1.0.1 |
Mengonfigurasi Azure Defender untuk database Azure SQL agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
Konfigurasikan Azure Defender agar database relasional sumber terbuka diaktifkan | Azure Defender untuk database relasional sumber terbuka mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. Pelajari selengkapnya tentang kemampuan Azure Defender untuk database relasional sumber terbuka di https://aka.ms/AzDforOpenSourceDBsDocu. Penting: Mengaktifkan paket ini akan dikenakan biaya untuk melindungi database relasional sumber terbuka Anda. Pelajari tentang harga di halaman harga Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi Azure Defender untuk Resource Manager agar diaktifkan | Azure Defender for Resource Manager secara otomatis memantau operasi manajemen sumber daya di organisasi Anda. Azure Defender mendeteksi ancaman dan mengingatkan Anda tentang aktivitas yang mencurigakan. Pelajari selengkapnya tentang kemampuan Azure Defender untuk Resource Manager di https://aka.ms/defender-for-resource-manager. Mengaktifkan paket Azure Defender ini menghasilkan biaya. Pelajari detail harga per wilayah di halaman harga Security Center: https://aka.ms/pricing-security-center. | DeployIfNotExists, Nonaktif | 1.1.0 |
Mengonfigurasi Azure Defender agar server diaktifkan | Azure Defender untuk server memberikan perlindungan ancaman waktu nyata untuk beban kerja server dan menghasilkan rekomendasi pengerasan serta peringatan tentang aktivitas yang mencurigakan. | DeployIfNotExists, Nonaktif | 1.0.1 |
Mengonfigurasi Azure Defender untuk server SQL pada mesin agar diaktifkan | Azure Defender for SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat mengindikasikan ancaman terhadap database SQL, dan menemukan serta mengklasifikasikan data sensitif. | DeployIfNotExists, Nonaktif | 1.0.1 |
Mengonfigurasi Microsoft Defender for Storage dasar untuk diaktifkan (Hanya Pemantauan Aktivitas) | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan kemampuan Defender for Storage dasar (Pemantauan Aktivitas). Untuk mengaktifkan perlindungan penuh, yang juga mencakup Pemindaian Malware On-upload dan Deteksi Ancaman Data Sensitif menggunakan kebijakan pengaktifan penuh: aka.ms/DefenderForStoragePolicy. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.1.0 |
Konfigurasikan mesin untuk menerima penyedia penilaian kerentanan | Azure Defender menyertakan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Anda tidak memerlukan lisensi Qualys atau bahkan akun Qualys - semuanya ditangani dengan tanpa hambatan di dalam Security Center. Saat Anda mengaktifkan kebijakan ini, Azure Defender secara otomatis menyebarkan penyedia penilaian kerentanan Qualys ke semua mesin yang didukung yang belum menginstal penyedia penilaian kerentanan. | DeployIfNotExists, Nonaktif | 4.0.0 |
Mengonfigurasi paket CSPM Pertahanan Microsoft | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan CSPM Microsoft Defender agar diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | DeployIfNotExists, Nonaktif | 1.0.2 |
Mengonfigurasikan Microsoft Defender untuk Azure Cosmos DB yang hendak diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi paket Pertahanan Microsoft untuk Kontainer | Kemampuan baru terus ditambahkan ke paket Defender for Containers, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan Pertahanan Microsoft untuk Kontainer agar diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | DeployIfNotExists, Nonaktif | 1.0.1 |
Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_EXCLUDE_LINUX...) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_EXCLUDE_LINUX_...), untuk mengaktifkan provisi otomatis MDE untuk server Linux. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP_UNIFIED_SOLUTION) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP_UNIFIED_SOLUTION), untuk mengaktifkan provisi otomatis MDE Unified Agent untuk Windows Server 2012R2 dan 2016. Pengaturan WDATP harus diaktifkan agar pengaturan ini diterapkan. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir dengan Microsoft Defender untuk Cloud (WDATP) | Mengonfigurasi pengaturan integrasi Microsoft Defender untuk Titik Akhir, dalam Microsoft Defender untuk Cloud (juga dikenal sebagai WDATP), untuk komputer downlevel Windows yang di-onboard ke MDE melalui MMA, dan provisi otomatis MDE pada Windows Server 2019 , Windows Virtual Desktop ke atas. Harus diaktifkan agar pengaturan lain (WDATP_UNIFIED, dll.) berfungsi. Lihat: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint untuk informasi selengkapnya. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi paket Microsoft Defender untuk Key Vault | Microsoft Defender untuk Key Vault memberikan lapisan perlindungan dan kecerdasan keamanan tambahan dengan mendeteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun brankas kunci. | DeployIfNotExists, Nonaktif | 1.1.0 |
Mengonfigurasi paket Pertahanan Microsoft untuk Server | Kemampuan baru terus ditambahkan ke Defender untuk Server, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
Konfigurasikan Microsoft Defender agar SQL diaktifkan di ruang kerja Synapse | Aktifkan Microsoft Defender untuk SQL di ruang kerja Azure Synapse Anda untuk mendeteksi aktivitas ganjil yang mengindikasikan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database SQL. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan (Klasik) untuk diaktifkan | Pertahanan Microsoft untuk Penyimpanan (Klasik) menyediakan deteksi upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi akun penyimpanan. | DeployIfNotExists, Nonaktif | 1.0.2 |
Mengonfigurasi Pertahanan Microsoft untuk Penyimpanan yang akan diaktifkan | Pertahanan Microsoft untuk Penyimpanan adalah lapisan kecerdasan keamanan asli Azure yang mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Kebijakan ini akan mengaktifkan semua kemampuan Defender for Storage; Pemantauan Aktivitas, Pemindaian Malware, dan Deteksi Ancaman Data Sensitif. Untuk mempelajari selengkapnya tentang kemampuan dan manfaat Defender for Storage, kunjungi aka.ms/DefenderForStorage. | DeployIfNotExists, Nonaktif | 1.4.0 |
Mengonfigurasi perlindungan ancaman Pertahanan Microsoft untuk beban kerja AI | Kemampuan baru terus ditambahkan ke perlindungan ancaman untuk beban kerja AI, yang mungkin memerlukan pengaktifan eksplisit pengguna. Gunakan kebijakan ini untuk memastikan semua kemampuan baru akan diaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengonfigurasi SQL Virtual Machines untuk menginstal Agen Azure Monitor secara otomatis | Mengotomatiskan penyebaran ekstensi Agen Azure Monitor di Windows SQL Virtual Machines Anda. Pelajari selengkapnya: https://aka.ms/AMAOverview. | DeployIfNotExists, Nonaktif | 1.5.0 |
Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL secara otomatis | Konfigurasikan Windows SQL Virtual Machines untuk menginstal ekstensi Pertahanan Microsoft untuk SQL secara otomatis. Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). | DeployIfNotExists, Nonaktif | 1.5.0 |
Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja Analitik Log | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya, Aturan Pengumpulan Data, dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.7.0 |
Mengonfigurasi SQL Virtual Machines untuk menginstal Pertahanan Microsoft untuk SQL dan DCR secara otomatis dengan ruang kerja LA yang ditentukan pengguna | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan Aturan Pengumpulan Data di wilayah yang sama dengan ruang kerja Analitik Log yang ditentukan pengguna. | DeployIfNotExists, Nonaktif | 1.8.0 |
Mengonfigurasi ruang kerja Microsoft Defender for SQL Log Analytics | Pertahanan Microsoft untuk SQL mengumpulkan peristiwa dari agen dan menggunakannya untuk memberikan pemberitahuan keamanan dan tugas pengerasan yang disesuaikan (rekomendasi). Buat grup sumber daya dan ruang kerja Analitik Log di wilayah yang sama dengan komputer. | DeployIfNotExists, Nonaktif | 1.4.0 |
Membuat dan menetapkan identitas terkelola bawaan yang ditetapkan pengguna | Buat dan tetapkan identitas terkelola bawaan yang ditetapkan pengguna dalam skala besar ke komputer virtual SQL. | AuditIfNotExists, DeployIfNotExists, Dinonaktifkan | 1.7.0 |
Menyebarkan - Mengonfigurasi aturan supresi untuk pemberitahuan Azure Security Center | Mengurangi pemberitahuan Azure Security Center untuk mengurangi kelelahan pemberitahuan dengan menyebarkan aturan supresi pada grup manajemen atau langganan Anda. | deployIfNotExists | 1.0.0 |
Menyebarkan ekspor ke Pusat Aktivitas sebagai layanan tepercaya untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Azure Event Hub sebagai layanan tepercaya dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke Event Hub sebagai konfigurasi layanan tepercaya dengan kondisi Anda dan target Event Hub pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | DeployIfNotExists, Nonaktif | 1.0.0 |
Sebarkan ekspor ke Pusat Aktivitas untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke Pusat Aktivitas dari data Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi Hub Kejadian dengan kondisi Anda dan menargetkan Hub Kejadian pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.2.0 |
Sebarkan ekspor ke ruang kerja Analitik Log untuk data Microsoft Defender untuk Cloud | Aktifkan ekspor ke ruang kerja Analitik Log dari data Microsoft Defender for Cloud. Kebijakan ini menyebarkan ekspor ke konfigurasi ruang kerja Analitik Log dengan kondisi dan ruang kerja target Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 4.1.0 |
Menyebarkan Azure Automation Alur Kerja untuk peringatan Microsoft Defender for Cloud | Aktifkan automasi pemberitahuan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
Menyebarkan Azure Automation Alur Kerja untuk rekomendasi Microsoft Defender for Cloud | Aktifkan automasi rekomendasi Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
Menyebarkan Azure Automation Alur Kerja untuk kepatuhan terhadap peraturan Microsoft Defender for Cloud | Aktifkan automasi kepatuhan terhadap peraturan Microsoft Defender untuk Cloud. Kebijakan ini menyebarkan otomatisasi alur kerja dengan kondisi dan pemicu Anda pada cakupan yang ditetapkan. Untuk menyebarkan kebijakan ini pada langganan yang baru dibuat, buka tab Kepatuhan, pilih penugasan yang tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 5.0.1 |
Pemberitahuan email untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu ketika terdapat potensi pelanggaran keamanan di salah satu langganan Anda, aktifkan pemberitahuan email untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 1.2.0 |
Pemberitahuan email kepada pemilik langganan untuk lansiran tingkat keparahan tinggi harus diaktifkan | Untuk memastikan pemilik langganan Anda diberitahu ketika ada potensi pelanggaran keamanan di langganan mereka, atur pemberitahuan email ke pemilik langganan untuk peringatan tingkat keparahan tinggi di Security Center. | AuditIfNotExists, Dinonaktifkan | 2.1.0 |
Aktifkan Microsoft Defender untuk Cloud pada langganan Anda | Mengidentifikasi langganan yang ada yang tidak dipantau oleh Microsoft Defender untuk Cloud dan melindunginya dengan fitur gratis Defender untuk Cloud. Langganan yang sudah dipantau akan dianggap sesuai syarat. Untuk mendaftarkan langganan yang baru dibuat, buka tab kepatuhan, pilih penugasan tidak patuh yang relevan, dan buat tugas remediasi. | deployIfNotExists | 1.0.1 |
Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja kustom. | Izinkan Azure Security Center untuk secara otomatis memprovisikan agen Analitik Log pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja kustom. | DeployIfNotExists, Nonaktif | 1.0.0 |
Aktifkan provisi otomatis agen Analitik Log Azure Security Center pada langganan Anda dengan ruang kerja default. | Izinkan Azure Security Center untuk memprovisikan agen Analitik Log secara otomatis pada langganan Anda untuk memantau dan mengumpulkan data keamanan menggunakan ruang kerja default ASC. | DeployIfNotExists, Nonaktif | 1.0.0 |
Mengaktifkan perlindungan ancaman untuk beban kerja AI | Perlindungan ancaman Microsoft untuk beban kerja AI menyediakan pemberitahuan keamanan berbasis bukti kontekstual yang bertujuan melindungi aplikasi yang didukung AI Generatif rumah | DeployIfNotExists, Nonaktif | 1.0.0 |
Masalah kesehatan perlindungan titik akhir harus diselesaikan di komputer Anda | Mengatasi masalah kesehatan perlindungan titik akhir pada komputer virtual Anda untuk melindungi mereka dari ancaman dan kerentanan terbaru. Solusi perlindungan titik akhir yang didukung Azure Security Center didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. Penilaian perlindungan titik akhir didokumentasikan di sini - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Perlindungan titik akhir harus dipasang di komputer Anda | Untuk melindungi komputer Anda dari ancaman dan kerentanan, instal solusi perlindungan titik akhir yang didukung. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Solusi perlindungan titik akhir harus dipasang pada set skala komputer virtual | Audit keberadaan dan kesehatan solusi perlindungan titik akhir pada set skala komputer virtual Anda, untuk melindunginya dari ancaman dan kerentanan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Akun tamu dengan izin pemilik pada sumber daya Azure harus dihapus | Akun eksternal dengan izin pemilik harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun tamu dengan izin baca pada sumber daya Azure harus dihapus | Akun eksternal dengan hak baca istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Akun tamu dengan izin tulis pada sumber daya Azure harus dihapus | Akun eksternal dengan hak tulis istimewa harus dihapus dari langganan Anda agar dapat mencegah akses tanpa pengawasan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Ekstensi Konfigurasi Tamu harus dipasang di mesin Anda | Untuk memastikan konfigurasi yang aman dari pengaturan in-guest mesin Anda, instal ekstensi Guest Configuration. Pengaturan tamu yang dipantau ekstensi mencakup konfigurasi sistem operasi, konfigurasi atau keberadaan aplikasi, dan pengaturan lingkungan. Setelah diinstal, kebijakan tamu akan tersedia seperti 'Windows Exploit guard harus diaktifkan'. Pelajari lebih lanjut di https://aka.ms/gcpol. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Komputer virtual yang terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual Anda dari potensi ancaman dengan membatasi akses ke komputer virtual tersebut dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Penerusan IP pada komputer virtual Anda harus dinonaktifkan | Mengaktifkan penerusan IP pada NIC komputer virtual memungkinkan komputer menerima lalu lintas yang ditujukan ke tujuan lain. Penerusan IP jarang diperlukan (misalnya, saat menggunakan VM sebagai appliance virtual jaringan), dan oleh karena itu, hal ini harus ditinjau oleh tim keamanan jaringan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Layanan Kubernetes harus ditingkatkan ke versi Kubernetes yang tidak rentan | Tingkatkan klaster layanan Kubernetes Anda ke versi Kubernetes yang lebih baru untuk melindungi dari kerentanan yang diketahui di versi Kubernetes Anda saat ini. Kerentanan CVE-2019-9946 telah di-patch di Kubernetes versi 1.11.9+, 1.12.7+, 1.13.5+, dan 1.14.0+ | Audit, Dinonaktifkan | 1.0.2 |
Agen Analitik Log harus dipasang pada instans peran Azure Cloud Services (dukungan perpanjangan) | Azure Security Center mengumpulkan data dari instans peran Azure Cloud Services (dukungan perpanjangan) Anda untuk memantau kerentanan dan ancaman keamanan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
Mesin harus memiliki temuan rahasia yang diselesaikan | Mengaudit komputer virtual untuk mendeteksi apakah mereka berisi temuan rahasia dari solusi pemindaian rahasia di komputer virtual Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.2 |
Port manajemen komputer virtual harus dilindungi dengan kontrol akses jaringan just-in-time | Kemungkinan akses Just In Time (JIT) jaringan akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Port manajemen harus ditutup pada komputer virtual Anda | Port manajemen jarak jauh yang terbuka mengekspos VM Anda ke risiko tinggi dari serangan berbasis internet. Serangan ini mencoba untuk memaksa info masuk guna mendapatkan akses admin ke komputer. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Microsoft Defender CSPM harus diaktifkan | Defender Cloud Security Posture Management (CSPM) menyediakan kemampuan postur yang ditingkatkan dan grafik keamanan cloud cerdas baru untuk membantu mengidentifikasi, memprioritaskan, dan mengurangi risiko. Defender CSPM tersedia selain kemampuan postur keamanan dasar gratis yang diaktifkan secara default di Defender untuk Cloud. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Microsoft Defender untuk API harus diaktifkan | Microsoft Defender untuk API menghadirkan penemuan, perlindungan, deteksi, & cakupan respons baru untuk memantau serangan berbasis API umum & kesalahan konfigurasi keamanan. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
Microsoft Defender untuk Azure Cosmos DB harus diaktifkan | Microsoft Defender untuk Azure Cosmos DB merupakan lapisan keamanan Azure yang dapat mendeteksi setiap upaya untuk mengeksploitasi database pada akun Azure Cosmos DB Anda. Defender untuk Azure Cosmos DB mendeteksi potensi adanya injeksi SQL, yang dikenal sebagai pelaku kejahatan menurut Inteligensi Ancaman Microsoft, pola akses yang mencurigakan, dan potensi eksploitasi database Anda melalui penyusupan identitas, atau kejahatan orang dalam. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Pertahanan Microsoft untuk Kontainer harus diaktifkan | Pertahanan Microsoft untuk Kontainer menyediakan pengerasan, penilaian kerentanan, dan perlindungan run-time untuk lingkungan Azure, hibrid, dan multi-cloud Kubernetes Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Microsoft Defender untuk SQL harus diaktifkan bagi ruang kerja Synapse yang tidak dilindungi | Aktifkan Defender untuk SQL untuk melindungi ruang kerja Synapse Anda. Defender untuk SQL memantau SQL Synapse Anda untuk mendeteksi aktivitas anomali yang menunjukkan upaya yang tidak biasa dan berpotensi berbahaya untuk mengakses atau mengeksploitasi database. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Status Pertahanan Microsoft untuk SQL harus dilindungi untuk SQL Server dengan dukungan Arc | Pertahanan Microsoft untuk SQL menyediakan fungsionalitas untuk memunculkan dan mengurangi potensi kerentanan database, mendeteksi aktivitas anomali yang dapat menunjukkan ancaman terhadap database SQL, menemukan dan mengklasifikasikan data sensitif. Setelah diaktifkan, status perlindungan menunjukkan bahwa sumber daya dipantau secara aktif. Bahkan ketika Defender diaktifkan, beberapa pengaturan konfigurasi harus divalidasi pada agen, mesin, ruang kerja, dan server SQL untuk memastikan perlindungan aktif. | Audit, Dinonaktifkan | 1.0.1 |
Pertahanan Microsoft untuk Penyimpanan harus diaktifkan | Microsoft Defender for Storage mendeteksi potensi ancaman terhadap akun penyimpanan Anda. Ini membantu mencegah tiga dampak utama pada data dan beban kerja Anda: unggahan file berbahaya, penyelundupan data sensitif, dan kerusakan data. Paket Defender for Storage baru mencakup Pemindaian Malware dan Deteksi Ancaman Data Sensitif. Paket ini juga menyediakan struktur harga yang dapat diprediksi (per akun penyimpanan) untuk kontrol atas cakupan dan biaya. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Memantau Perlindungan Titik Akhir yang tidak ada di Azure Security Center | Server tanpa agen Perlindungan Titik Akhir yang diinstal akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Komputer virtual yang tidak terhubung ke internet harus dilindungi dengan grup keamanan jaringan | Lindungi komputer virtual non-internet Anda dari potensi ancaman dengan membatasi akses dengan grup keamanan jaringan (NSG). Pelajari lebih lanjut tentang mengontrol lalu lintas dengan NSG di https://aka.ms/nsg-doc | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Access Control Berbasis Peran (RBAC) harus digunakan pada Layanan Kubernetes | Untuk menyediakan pemfilteran granular pada tindakan yang dapat dilakukan pengguna, gunakan Access Control Berbasis Peran (RBAC) untuk mengelola izin di Kubernetes Service Cluster dan mengonfigurasi kebijakan otorisasi yang relevan. | Audit, Dinonaktifkan | 1.0.4 |
Tingkat harga standar Security Center harus dipilih | Tingkat harga standar memungkinkan deteksi ancaman untuk jaringan dan komputer virtual, menyediakan intelijen ancaman, deteksi anomali, dan analitik perilaku di Security Center | Audit, Dinonaktifkan | 1.1.0 |
Menyiapkan langganan ke transisi ke solusi penilaian kerentanan alternatif | Pertahanan Microsoft untuk cloud menawarkan pemindaian kerentanan untuk komputer Anda tanpa biaya tambahan. Mengaktifkan kebijakan ini akan menyebabkan Defender untuk Cloud secara otomatis menyebarluaskan temuan dari solusi pengelolaan kerentanan Pertahanan Microsoft bawaan ke semua komputer yang didukung. | DeployIfNotExists, Nonaktif | 1.0.0-preview |
Database SQL harus memiliki temuan kerentanan yang diselesaikan | Pantau hasil pemindaian penilaian kerentanan dan rekomendasi tentang cara memulihkan kerentanan basis data. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Provisi otomatis yang ditargetkan server SQL harus diaktifkan untuk server SQL pada paket komputer | Untuk memastikan komputer virtual SQL dan SQL Server berkemampuan Arc Anda dilindungi, pastikan Azure Monitoring Agent yang ditargetkan SQL dikonfigurasi untuk disebarkan secara otomatis. Ini juga diperlukan jika sebelumnya Anda telah mengonfigurasi provisi otomatis Agen Pemantauan Microsoft, karena komponen tersebut tidak digunakan lagi. Pelajari selengkapnya: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Server SQL pada komputer harus memiliki temuan kerentanan yang diselesaikan | Penilaian kerentanan SQL memindai database Anda untuk mengetahui kerentanan keamanan, dan mengekspos setiap penyimpangan dari praktik terbaik seperti kesalahan konfigurasi, izin yang berlebihan, dan data sensitif yang tidak dilindungi. Menyelesaikan kerentanan yang ditemukan dapat sangat meningkatkan postur keamanan database Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Langganan harus memiliki alamat email kontak untuk masalah keamanan | Untuk memastikan orang yang relevan di organisasi Anda diberi tahu saat ada potensi pelanggaran keamanan di salah satu langganan Anda, atur kontak keamanan untuk menerima pemberitahuan email dari Security Center. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Pembaruan sistem harus diinstal pada komputer Anda (didukung oleh Pusat Pembaruan) | Komputer Anda tidak memiliki sistem, keamanan, dan pembaruan penting. Pembaruan perangkat lunak sering menyertakan patch penting pada lubang keamanan. Lubang semacam itu sering dieksploitasi dalam serangan malware sehingga sangat penting untuk memperbarui perangkat lunak Anda. Untuk menginstal semua tambalan yang luar biasa dan mengamankan komputer Anda, ikuti langkah-langkah remediasi. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Harus ada lebih dari satu pemilik yang ditetapkan ke langganan Anda | Sebaiknya tetapkan lebih dari satu pemilik langganan agar memiliki redundansi akses administrator. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Ekstensi Konfigurasi Tamu komputer virtual harus disebarkan dengan identitas terkelola yang ditetapkan sistem | Ekstensi Konfigurasi Tamu memerlukan identitas terkelola yang ditetapkan sistem. Komputer virtual Azure dalam cakupan kebijakan ini tidak akan mematuhi kebijakan jika ekstensi Konfigurasi Tamu diinstal tetapi tidak memiliki identitas terkelola yang ditetapkan sistem. Pelajari lebih lanjut di https://aka.ms/gcpol | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
Kerentanan dalam konfigurasi keamanan di komputer Anda harus diremediasi | Server yang tidak memenuhi baseline yang dikonfigurasi akan dipantau oleh Azure Security Center sebagai rekomendasi | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
Langkah berikutnya
Dalam artikel ini, Anda mempelajari tentang definisi kebijakan keamanan Azure Policy di Defender untuk Cloud. Untuk mempelajari lebih lanjut tentang inisiatif, kebijakan, dan bagaimana terkait dengan rekomendasi Defender untuk Cloud, lihat Apa itu kebijakan, inisiatif, dan rekomendasi keamanan?.