Definizioni di criteri predefiniti di Criteri di Azure
Questa pagina è un indice delle definizioni di criteri predefiniti di Criteri di Azure.
Nome di ogni collegamento predefinito alla definizione dei criteri nella portale di Azure. Usare il collegamento nella colonna Origine per visualizzare l'origine nel repository GitHub di Criteri di Azure. Le iniziative predefinite sono raggruppate in base alla proprietà categoria nei metadati. Per passare a una categoria specifica, usare CTRL-F per la funzionalità di ricerca del browser.
API per FHIR
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'API di Azure per FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in API di Azure per FHIR quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | audit, Audit, disabled, Disabled | 1.1.0 |
| L'API di Azure per FHIR deve usare un collegamento privato | L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. | Audit, Disabled | 1.0.0 |
| CORS non deve consentire a tutti i domini di accedere all'API per FHIR | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'API per FHIR. Per proteggere l'API per FHIR, rimuovere l'accesso per tutti i domini e definire in modo esplicito i domini a cui è consentita la connessione. | audit, Audit, disabled, Disabled | 1.1.0 |
Gestione API
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gestione API API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Audit, Disabled, Deny | 2.0.2 |
| Gestione API le chiamate ai back-end API devono essere autenticate | Le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end di Service Fabric. | Audit, Disabled, Deny | 1.0.1 |
| Gestione API chiamate ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato | Per migliorare la sicurezza dell'API, Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API endpoint di gestione diretta non deve essere abilitato | L'API REST di gestione diretta in Azure Gestione API ignora i meccanismi di controllo, autorizzazione e limitazione degli accessi in base al ruolo di Azure Resource Manager, aumentando così la vulnerabilità del servizio. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva | Per impedire la condivisione dei segreti del servizio con utenti di sola lettura, la versione minima dell'API deve essere impostata su 2019-12-01 o versione successiva. | Audit, Deny, Disabled | 1.0.1 |
| Gestione API i valori denominati del segreto devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti di Azure Key Vault. Azure Key Vault supporta la gestione granulare degli accessi e i criteri di rotazione dei segreti. | Audit, Disabled, Deny | 1.0.2 |
| Gestione API servizio deve usare uno SKU che supporta le reti virtuali | Con gli SKU supportati di Gestione API, la distribuzione del servizio in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza Gestione API che consentono un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://aka.ms/apimvnet. | Audit, Deny, Disabled | 1.0.0 |
| I servizi di gestione API devono usare una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Audit, Deny, Disabled | 1.0.2 |
| Gestione API disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi di Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | AuditIfNotExists, Disabled | 1.0.1 |
| Gestione API deve essere disabilitata l'autenticazione con nome utente e password | Per proteggere meglio il portale per sviluppatori, l'autenticazione del nome utente e della password in Gestione API deve essere disabilitata. Configurare l'autenticazione utente tramite i provider di identità di Azure AD o Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Audit, Disabled | 1.0.1 |
| Gestione API le sottoscrizioni non devono avere come ambito tutte le API | Gestione API le sottoscrizioni devono essere incluse nell'ambito di un prodotto o di una singola API invece di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Audit, Disabled, Deny | 1.1.0 |
| La versione della piattaforma Gestione API di Azure deve essere stv2 | Azure Gestione API versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni, vedere /azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Audit, Deny, Disabled | 1.0.0 |
| Configurare Gestione API servizi per disabilitare l'accesso agli endpoint di configurazione del servizio pubblico Gestione API | Per migliorare la sicurezza dei servizi di Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | DeployIfNotExists, Disabled | 1.1.0 |
| Modificare Gestione API per disabilitare l'autenticazione con nome utente e password | Per proteggere meglio gli account utente del portale per sviluppatori e le relative credenziali, configurare l'autenticazione utente tramite Azure AD o i provider di identità di Azure AD B2C e disabilitare l'autenticazione predefinita del nome utente e della password. | Modifica | 1.1.0 |
Configurazione app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurazione app disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Configurazione app deve usare una chiave gestita dal cliente | Le chiavi gestite dal cliente offrono protezione dati avanzata consentendo di gestire le chiavi di crittografia. Tale funzionalità è spesso necessaria per soddisfare i requisiti di conformità. | Audit, Deny, Disabled | 1.1.0 |
| Configurazione app deve usare uno SKU che supporta il collegamento privato | Quando si usa uno SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Configurazione app deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, Disabled | 1.0.2 |
| Configurazione app archivi devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli archivi Configurazione app richiedano identità di Microsoft Entra esclusivamente per l'autenticazione. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2161954. | Audit, Deny, Disabled | 1.0.1 |
| Configurare gli archivi Configurazione app per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli archivi Configurazione app richiedano le identità di Microsoft Entra esclusivamente per l'autenticazione. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2161954. | Modificare, Disabilitata | 1.0.1 |
| Configurare Configurazione app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Configurazione app in modo che non sia accessibile tramite Internet pubblico. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | Modificare, Disabilitata | 1.0.0 |
| Configurare le zone DNS private per gli endpoint privati connessi a Configurazione app | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere le istanze di configurazione dell'app. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare endpoint privati per Configurazione app | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di configurazione dell'app, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
Piattaforma dell'app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Controllare le istanze di Azure Spring Cloud in cui la traccia distribuita non è abilitata | Gli strumenti di traccia distribuita in Azure Spring Cloud consentono adi eseguire il debug e il monitoraggio delle complesse interconnessioni tra i microservizi in un'applicazione. Gli strumenti di traccia distribuita devono essere abilitati e in uno stato integro. | Audit, Disabled | 1.0.0-preview |
| Azure Spring Cloud deve usare l'aggiunta alla rete | Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Audit, Disabled, Deny | 1.2.0 |
Servizio app
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| servizio app slot dell'app devono essere inseriti in una rete virtuale | L'inserimento di app servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| servizio app slot dell'app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che il servizio app non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| servizio app slot dell'app devono abilitare il routing di configurazione ad Azure Rete virtuale | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso l'Rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| servizio app slot dell'app devono abilitare il traffico non RFC 1918 in uscita verso Azure Rete virtuale | Per impostazione predefinita, se si usa l'integrazione di Azure Rete virtuale (VNET) a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nell'Rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app servizio app. | Audit, Deny, Disabled | 1.0.0 |
| servizio app slot dell'app devono essere abilitati certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot dell'app devono essere disabilitati i metodi di autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| servizio app gli slot dell'app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| servizio app slot dell'app deve essere disattivato il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.1 |
| servizio app slot dell'app devono essere abilitati i log delle risorse | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot dell'app non devono essere configurati CORS per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot dell'app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| servizio app slot dell'app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot dell'app devono usare una condivisione file di Azure per la directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| servizio app slot dell'app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot dell'app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot di app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot di app che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Java per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot di app che usano PHP devono usare una "versione PHP" specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di PHP per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app slot di app che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Python per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono essere inserite in una rete virtuale | L'inserimento di app servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| servizio app le app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che il servizio app non sia esposto sulla rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| servizio app le app devono abilitare il routing della configurazione ad Azure Rete virtuale | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso l'Rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| servizio app app devono abilitare il traffico non RFC 1918 in uscita verso Azure Rete virtuale | Per impostazione predefinita, se si usa l'integrazione di Azure Rete virtuale (VNET) a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nell'Rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app servizio app. | Audit, Deny, Disabled | 1.0.0 |
| servizio app le app devono avere l'autenticazione abilitata | app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare quelle con token prima di raggiungere l'app Web. | AuditIfNotExists, Disabled | 2.0.1 |
| servizio app le app devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| servizio app le app devono avere metodi di autenticazione locale disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che le servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| servizio app le app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che le servizio app richiedano esclusivamente identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| servizio app le app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| servizio app le app devono avere i log delle risorse abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| servizio app le app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| servizio app le app devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| servizio app le app devono usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| servizio app le app devono usare una condivisione file di Azure per la directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| servizio app le app devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| servizio app le app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| servizio app le app devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a servizio app, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| servizio app le app devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| servizio app app che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Java per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| servizio app app che usano PHP devono usare una 'versione PHP' specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di PHP per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.2.0 |
| servizio app app che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente di Python per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
| ambiente del servizio app le app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un ambiente del servizio app non siano accessibili tramite Internet pubblico, è necessario distribuire ambiente del servizio app con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, il ambiente del servizio app deve essere distribuito con un servizio di bilanciamento del carico interno. | Audit, Deny, Disabled | 3.0.0 |
| ambiente del servizio app devono essere configurati con suite di crittografia TLS più complesse | Le due suite di crittografia più minime e forti necessarie per il corretto funzionamento di ambiente del servizio app sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| ambiente del servizio app deve essere eseguito il provisioning con le versioni più recenti | Consentire solo il provisioning di ambiente del servizio app versione 2 o 3. Le versioni precedenti di ambiente del servizio app richiedono la gestione manuale delle risorse di Azure e presentano limitazioni di ridimensionamento maggiori. | Audit, Deny, Disabled | 1.0.0 |
| ambiente del servizio app deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| ambiente del servizio app devono essere disabilitati TLS 1.0 e 1.1 | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un ambiente del servizio app. | Audit, Deny, Disabled | 2.0.1 |
| Configurare servizio app slot dell'app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare servizio app slot dell'app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare servizio app slot dell'app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizio app in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modificare, Disabilitata | 1.1.0 |
| Configurare servizio app slot dell'app in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modificare, Disabilitata | 2.0.0 |
| Configurare servizio app slot dell'app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare servizio app slot dell'app per l'uso della versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare servizio app app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che le servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare servizio app app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che le servizio app richiedano esclusivamente identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare servizio app app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizio app in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modificare, Disabilitata | 1.1.0 |
| Configurare le app servizio app in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modificare, Disabilitata | 2.0.0 |
| Configurare servizio app app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare servizio app app per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega una rete virtuale a un servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare servizio app app per l'uso della versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modificare, Disabilitata | 1.1.0 |
| Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modificare, Disabilitata | 2.0.0 |
| Configurare gli slot dell'app per le funzioni per disattivare il debug remoto | Il debug remoto richiede l'apertura di porte in ingresso in un'app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app per le funzioni per l'uso della versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modificare, Disabilitata | 1.1.0 |
| Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modificare, Disabilitata | 2.0.0 |
| Configurare le app per le funzioni per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app per le funzioni per l'uso della versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.0.1 |
| Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Gli slot dell'app per le funzioni devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| Gli slot dell'app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare una condivisione file di Azure per la directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Per le app per le funzioni deve essere abilitata l'autenticazione | app Azure l'autenticazione del servizio è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare quelle con token prima di raggiungere l'app per le funzioni. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono avere certificati client (certificati client in ingresso) abilitati | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare l'applicazione FTPS per una maggiore sicurezza. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare una condivisione file di Azure per la directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione HTTP più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione più recente di TLS | Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app per le funzioni che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| Le app per le funzioni che usano Python devono usare una 'versione Python' specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
Attestazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| attestazione di Azure provider devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza del servizio attestazione di Azure, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in aka.ms/azureattestation. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| attestazione di Azure provider devono usare endpoint privati | Gli endpoint privati consentono di connettere provider di attestazione di Azure alle risorse di Azure senza inviare traffico tramite Internet pubblico. Impedendo l'accesso pubblico, gli endpoint privati consentono di proteggersi da accessi anonimi indesiderati. | AuditIfNotExists, Disabled | 1.0.0 |
Automanage
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: È necessario abilitare un'identità gestita nei computer | Le risorse gestite da Gestione automatica devono avere un'identità gestita. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'assegnazione del profilo di configurazione automatica deve essere conforme | Le risorse gestite da Gestione automatica devono avere lo stato Conforme o ConformeCorrected. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: La diagnostica di avvio deve essere abilitata nelle macchine virtuali | Le macchine virtuali di Azure devono avere la diagniostics di avvio abilitata. | Audit, Disabled | 1.0.0-preview |
| Configurare le macchine virtuali di cui eseguire l'onboarding in Gestione automatica di Azure | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare Gestione automatica all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.4.0 |
| Configurare le macchine virtuali di cui eseguire l'onboarding in Gestione automatica di Azure con profilo di configurazione personalizzato | Gestione automatica di Azure registra, configura e monitora le macchine virtuali con le procedure consigliate definite in Microsoft Cloud Adoption Framework per Azure. Usare questo criterio per applicare la gestione automatica con il proprio profilo di configurazione personalizzato all'ambito selezionato. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Hotpatch deve essere abilitato per le macchine virtuali windows Server Azure Edition | Ridurre al minimo i riavvii e installare rapidamente gli aggiornamenti con hotpatch. Per altre informazioni: https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Audit, Deny, Disabled | 1.0.0 |
Automazione
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'account di Automazione deve avere un'identità gestita | Usare identità gestite come metodo consigliato per l'autenticazione con le risorse di Azure dai runbook. L'identità gestita per l'autenticazione è più sicura ed elimina il sovraccarico di gestione associato all'uso dell'account RunAs nel codice del runbook. | Audit, Disabled | 1.0.0 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Audit, Deny, Disabled | 1.1.0 |
| Gli account di automazione devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Audit, Deny, Disabled | 1.0.0 |
| Automazione di Azure account deve avere il metodo di autenticazione locale disabilitato | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli account Automazione di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Automazione di Azure gli account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Automazione di Azure. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. | Audit, Deny, Disabled | 1.0.0 |
| Configurare Automazione di Azure account per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account Automazione di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli account Automazione di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Automazione di Azure account in modo che non sia accessibile tramite Internet pubblico. Questa configurazione consente di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse dell'account di Automazione creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli account Automazione di Azure con zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. È necessaria una zona DNS privata configurata correttamente per connettersi all'account Automazione di Azure tramite collegamento privato di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le connessioni dell'endpoint privato sugli account Automazione di Azure | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Automazione di Azure senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure sono disponibili in https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| È necessario abilitare le connessioni endpoint private sugli account di Automazione | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account di Automazione senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Automazione di Azure all'indirizzohttps://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, Disabled | 1.0.0 |
Azure Active Directory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I domini gestiti di Azure Dominio di Active Directory Services devono usare solo la modalità TLS 1.2 | Usare solo la modalità TLS 1.2 per i domini gestiti. Per impostazione predefinita, Azure AD Domain Services abilita l'uso di crittografie come NTLM v1 e TLS v1. Queste crittografie possono essere necessarie per alcune applicazioni legacy, ma sono considerate deboli e possono essere disabilitate se non sono necessarie. Quando è abilitata solo la modalità TLS 1.2, qualsiasi client che effettua una richiesta che non usa TLS 1.2 avrà esito negativo. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Audit, Deny, Disabled | 1.1.0 |
Servizi di intelligenza artificiale per Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Audit, Deny, Disabled | 1.1.0 |
| Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. | Audit, Deny, Disabled | 3.2.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di Servizi di intelligenza artificiale di Azure per disabilitare l'accesso alla chiave locale (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | DeployIfNotExists, Disabled | 1.0.0 |
| I log di diagnostica nelle risorse dei servizi di intelligenza artificiale di Azure devono essere abilitati | Abilitare i log per le risorse dei servizi di intelligenza artificiale di Azure. In questo modo è possibile ricreare i percorsi attività a scopo di indagine, quando si verifica un evento imprevisto di sicurezza o la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
Azure Arc
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Nega la creazione o la modifica delle licenze di Aggiornamenti sicurezza estesa (ESU). | Questo criterio consente di limitare la creazione o la modifica delle licenze ESU per i computer Windows Server 2012 Arc. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | Deny, Disabled | 1.0.0-preview |
| [Anteprima]: abilitare la licenza ESU (Extended Security Aggiornamenti) per mantenere protetti i computer Windows 2012 al termine del ciclo di vita del supporto. | Abilitare la licenza ESU (Extended Security Aggiornamenti) per mantenere protetti i computer Windows 2012 anche dopo la fine del ciclo di vita del supporto. Informazioni su come preparare la distribuzione di Aggiornamenti di sicurezza estesa per Windows Server 2012 tramite AzureArc, visitare https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Per altre informazioni sui prezzi, visitare https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, Disabled | 1.0.0-preview |
| Gli ambiti di collegamento privato di Azure Arc devono essere configurati con un endpoint privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | Audit, Disabled | 1.0.0 |
| Gli ambiti di collegamento privato di Azure Arc devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le risorse di Azure Arc non possano connettersi tramite La rete Internet pubblica. La creazione di endpoint privati può limitare l'esposizione delle risorse di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati per Azure Arc devono essere configurati con un ambito di azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| I server abilitati per Azure Arc devono essere configurati con un ambito di azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurare gli ambiti di collegamento privato di Azure Arc per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'ambito di Azure Arc collegamento privato in modo che le risorse di Azure Arc associate non possano connettersi ai servizi Di Azure Arc tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli ambiti di collegamento privato di Azure Arc per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli ambiti di collegamento privato di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare gli ambiti di collegamento privato di Azure Arc con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli ambiti di collegamento privato di Azure Arc, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare i cluster Kubernetes abilitati per Azure Arc per l'uso di un ambito di azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | Modificare, Disabilitata | 1.0.0 |
| Configurare i server abilitati per Azure Arc per l'uso di un ambito di azure Arc collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping dei server abilitati per Azure Arc a un ambito di azure Arc collegamento privato configurato con un endpoint privato, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/arc/privatelink. | Modificare, Disabilitata | 1.0.0 |
Esplora dati di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Tutte le Amministrazione di database in Azure Esplora dati devono essere disabilitate | Disabilitare tutti i ruoli di amministratore del database per limitare la concessione di un ruolo utente con privilegi elevati o amministrativi. | Audit, Deny, Disabled | 1.0.0 |
| Il cluster Esplora dati di Azure deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al cluster Esplora dati di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Audit, Disabled | 1.0.0 |
| La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente | L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Azure Esplora dati deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/private-link. | Audit, Deny, Disabled | 1.0.0 |
| Configurare cluster Esplora dati di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati ad Azure Esplora dati, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere: [ServiceSpecificAKA.ms]. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Esplora dati per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che azure Esplora dati sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i cluster Esplora dati di Azure. | Modificare, Disabilitata | 1.0.0 |
| La crittografia dei dischi deve essere abilitata in Esplora dati di Azure | L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. | Audit, Deny, Disabled | 2.0.0 |
| La crittografia doppia deve essere abilitata in Esplora dati di Azure | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica in Azure Esplora dati deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che Azure Esplora dati sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.0.0 |
| La distribuzione all'interno della rete virtuale deve essere abilitata per Esplora dati di Azure | Protegge il perimetro della rete con la distribuzione all'interno di una rete virtuale che consente di imporre regole dei gruppi di sicurezza di rete, connettersi all'ambiente locale e proteggere le origini della connessione dati con endpoint servizio. | Audit, Deny, Disabled | 1.0.0 |
Azure Databricks
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster di Azure Databricks devono disabilitare l'indirizzo IP pubblico | La disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti su Internet pubblico. Per altre informazioni, vedere https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Audit, Deny, Disabled | 1.0.1 |
| Le aree di lavoro di Azure Databricks devono trovarsi in una rete virtuale | Le Rete virtuale di Azure offrono sicurezza e isolamento avanzati per le aree di lavoro di Azure Databricks, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Audit, Deny, Disabled | 1.0.2 |
| Le aree di lavoro di Azure Databricks devono essere SKU Premium che supportano funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia | Consentire solo l'area di lavoro di Databricks con Sku Premium che l'organizzazione può distribuire per supportare funzionalità come collegamento privato, chiave gestita dal cliente per la crittografia. Per altre informazioni, vedere https://aka.ms/adbpe. | Audit, Deny, Disabled | 1.0.1 |
| Le aree di lavoro di Azure Databricks devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Audit, Deny, Disabled | 1.0.1 |
| Le aree di lavoro di Azure Databricks devono usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/adbpe. | Audit, Disabled | 1.0.2 |
| Configurare l'area di lavoro di Azure Databricks per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere le aree di lavoro di Azure Databricks. Per altre informazioni, vedere https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le aree di lavoro di Azure Databricks con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Databricks, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Databricks nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le aree di lavoro di Azure Databricks per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando un'area di lavoro di Azure Databricks mancante viene creata o aggiornata. | DeployIfNotExists, Disabled | 1.0.1 |
| È necessario abilitare i log delle risorse nelle aree di lavoro di Azure Databricks | I log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
Centro hardware Edge di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dispositivi Del Centro hardware Edge di Azure devono avere il supporto della doppia crittografia abilitato | Assicurarsi che i dispositivi ordinati da Azure Edge Hardware Center dispongano del supporto della doppia crittografia abilitato per proteggere i dati inattivi nel dispositivo. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 2.0.0 |
Test di carico di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La risorsa di test di carico di Azure deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi per la risorsa test di carico di Azure. Per impostazione predefinita, la crittografia viene eseguita usando chiavi gestite dal servizio, le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Audit, Deny, Disabled | 1.0.0 |
Azure Purview
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account Azure Purview devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli account Azure Purview anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/purview-private-link. | Audit, Disabled | 1.0.0 |
Azure Stack Edge
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dispositivi Azure Stack Edge devono usare la doppia crittografia | Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
Gestore aggiornamenti di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare il controllo periodico della presenza di aggiornamenti di sistema mancanti nei server abilitati per Azure Arc | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo nei server abilitati per Azure Arc. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 2.2.1 |
| Configurare il controllo periodico della presenza di aggiornamenti di sistema mancanti nelle macchine virtuali di Azure | Configurare la valutazione automatica (ogni 24 ore) per gli aggiornamenti del sistema operativo in macchine virtuali native di Azure. È possibile controllare l'ambito dell'assegnazione in base alla sottoscrizione del computer, al gruppo di risorse, alla posizione o al tag. Altre informazioni su questo argomento per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | modify | 4.8.0 |
| I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Audit, Deny, Disabled | 3.7.0 |
| Pianificare gli aggiornamenti ricorrenti con Gestione aggiornamenti di Azure | È possibile usare Gestione aggiornamenti di Azure in Azure per salvare le pianificazioni di distribuzione ricorrenti per installare gli aggiornamenti del sistema operativo per i computer Windows Server e Linux in Azure, negli ambienti locali e in altri ambienti cloud connessi usando i server abilitati per Azure Arc. Questo criterio modificherà anche la modalità patch per la macchina virtuale di Azure in "AutomaticByPlatform". Per altre informazioni, vedere: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, Disabled | 3.10.0 |
Backup
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Backup di Azure'estensione deve essere installata nei cluster del servizio Azure Kubernetes | Assicurarsi di installare l'installazione dell'estensione di backup nei cluster del servizio Azure Kubernetes per sfruttare Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i cluster del servizio Azure Kubernetes | Assicurarsi di proteggere i cluster del servizio Azure Kubernetes abilitando Backup di Azure. Backup di Azure per il servizio Azure Kubernetes è una soluzione di protezione dei dati sicura e nativa del cloud per i cluster del servizio Azure Kubernetes. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per i BLOB negli account Archiviazione | Assicurarsi di proteggere gli account Archiviazione abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Backup di Azure deve essere abilitato per Managed Disks | Garantire la protezione dei dischi gestiti abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: gli insiemi di credenziali di Backup di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup. È anche possibile applicare la crittografia infra. | Questo criterio segue l'effetto se la crittografia Impostazioni è abilitata per gli insiemi di credenziali di backup nell'ambito. Inoltre, l'opzione per verificare se Backup Vault dispone anche della crittografia dell'infrastruttura abilitata. Per ulteriori informazioni, vedi https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Si noti che quando si usa l'effetto "Nega", è necessario abilitare la crittografia Impostazioni negli insiemi di credenziali di backup esistenti per consentire altre operazioni di aggiornamento nell'insieme di credenziali. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'insieme di credenziali dei servizi di ripristino non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'insieme di credenziali dei servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono usare il collegamento privato per il backup | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/AB-PrivateEndpoints. | Audit, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali di Servizi di ripristino in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/AB-PublicNetworkAccess-Deny. | Modificare, Disabilitata | 1.0.0-preview |
| [Anteprima]: Configurare il backup per i BLOB negli account di archiviazione con un tag specificato in un insieme di credenziali di backup esistente nella stessa area | Applicare il backup per i BLOB in tutti gli account di archiviazione che contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare il backup BLOB per tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup nella stessa area | Applicare il backup per i BLOB in tutti gli account di archiviazione che non contengono un tag specificato in un insieme di credenziali di backup centrale. In questo modo è possibile gestire il backup dei BLOB contenuti in più account di archiviazione su larga scala. Per altre informazioni, vedere https://aka.ms/AB-BlobBackupAzPolicies | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per l'uso di zone DNS private per il backup | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per l'uso di endpoint privati per il backup | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Si noti che gli insiemi di credenziali devono soddisfare determinati prerequisiti per essere idonei per la configurazione dell'endpoint privato. Per altre informazioni, vedere : https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Disabilitare il ripristino tra sottoscrizioni per gli insiemi di credenziali di Servizi di ripristino di Azure | Disabilitare o permanentementeDisable Cross Subscription Restore per l'insieme di credenziali di Servizi di ripristino in modo che le destinazioni di ripristino non possano trovarsi in una sottoscrizione diversa dalla sottoscrizione dell'insieme di credenziali. Per altre informazioni, vedere https://aka.ms/csrenhancements. | Modificare, Disabilitata | 1.1.0-preview |
| [Anteprima]: Disabilitare il ripristino tra sottoscrizioni per gli insiemi di credenziali di backup | Disabilitare o permanentementeDisable Cross Subscription Restore per l'insieme di credenziali di backup in modo che le destinazioni di ripristino non possano trovarsi in una sottoscrizione diversa dalla sottoscrizione dell'insieme di credenziali. Per altre informazioni, vedere https://aka.ms/csrstatechange. | Modificare, Disabilitata | 1.1.0-preview |
| [Anteprima]: non consentire la creazione di insiemi di credenziali di Servizi di ripristino di ridondanza di archiviazione scelta. | Gli insiemi di credenziali di Servizi di ripristino possono essere creati con una delle tre opzioni di ridondanza di archiviazione attualmente disponibili, ovvero Archiviazione con ridondanza locale, archiviazione con ridondanza della zona e archiviazione con ridondanza geografica. Se i criteri nell'organizzazione richiedono di bloccare la creazione di insiemi di credenziali appartenenti a un determinato tipo di ridondanza, è possibile ottenere lo stesso risultato usando questo criterio di Azure. | Deny, Disabled | 1.0.0-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di backup nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per ulteriori informazioni, vedi https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Anteprima]: L'immutabilità deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino | Questo criterio controlla se la proprietà insiemi di credenziali non modificabili è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. Ciò consente di proteggere i dati di backup dall'eliminazione prima della scadenza prevista. Per ulteriori informazioni, vedi https://aka.ms/AB-ImmutableVaults. | Audit, Disabled | 1.0.1-preview |
| [Anteprima]: l'autorizzazione multiutente deve essere abilitata per gli insiemi di credenziali di backup. | Questo criterio controlla se l'autorizzazione multiutente è abilitata per gli insiemi di credenziali di backup. MUA consente di proteggere gli insiemi di credenziali di backup aggiungendo un ulteriore livello di protezione alle operazioni critiche. Per altre informazioni, visita il sito Web all'indirizzo https://aka.ms/mua-for-bv. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'autorizzazione multiutente deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'autorizzazione multiutente è abilitata per gli insiemi di credenziali di Servizi di ripristino. MUA consente di proteggere gli insiemi di credenziali di Servizi di ripristino aggiungendo un ulteriore livello di protezione alle operazioni critiche. Per altre informazioni, visita il sito Web all'indirizzo https://aka.ms/MUAforRSV. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di Servizi di ripristino. | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di Servizi di ripristino nell'ambito. L'eliminazione temporanea consente di recuperare i dati anche dopo l'eliminazione. Per ulteriori informazioni, vedi https://aka.ms/AB-SoftDelete. | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: l'eliminazione temporanea deve essere abilitata per gli insiemi di credenziali di backup | Questo criterio controlla se l'eliminazione temporanea è abilitata per gli insiemi di credenziali di backup nell'ambito. L'eliminazione temporanea consente di recuperare i dati dopo l'eliminazione. Per altre informazioni: https://aka.ms/AB-SoftDelete | Audit, Disabled | 1.0.0-preview |
| La soluzione Backup di Azure deve essere abilitata per le macchine virtuali | È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. | AuditIfNotExists, Disabled | 3.0.0 |
| Configurare il backup nelle macchine virtuali con un tag specificato in un nuovo insieme di credenziali di Servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali con un tag specificato in un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile includere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali senza un tag specificato in un nuovo insieme di credenziali dei servizi di ripristino con un criterio predefinito | Impone il backup per tutte le macchine virtuali distribuendo un insieme di credenziali di Servizi di ripristino nella stessa località e nello stesso gruppo di risorse della macchina virtuale. Questa operazione è utile quando a team di applicazioni diversi all'interno dell'organizzazione vengono allocati gruppi di risorse separati ed è necessario gestirne i backup e i ripristini. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Configurare il backup nelle macchine virtuali senza un tag specificato in un insieme di credenziali dei servizi di ripristino esistente nella stessa posizione | Impone il backup per tutte le macchine virtuali eseguendone il backup in insieme di credenziali di Servizi di ripristino esistente nella stessa località e sottoscrizione della macchina virtuale. Questa operazione è utile quando un team centrale dell'organizzazione gestisce i backup per tutte le risorse in una sottoscrizione. Facoltativamente, è possibile escludere macchine virtuali contenenti un tag specifico per controllare l'ambito di assegnazione. Vedere https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino nell'area di lavoro Log Analytics per categorie specifiche delle risorse. | Distribuire le impostazioni di diagnostica per l'insieme di credenziali di Servizi di ripristino per lo streaming nell'area di lavoro Log Analytics per categorie specifiche delle risorse. Se una delle categorie specifiche delle risorse non è abilitata, verrà creata una nuova impostazione di diagnostica. | deployIfNotExists | 1.0.2 |
Batch
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. | Audit, Deny, Disabled | 1.0.1 |
| I pool di Azure Batch devono avere la crittografia del disco abilitata | L'abilitazione della crittografia dischi di Azure Batch garantisce che i dati siano sempre crittografati inattivi nel nodo di calcolo di Azure Batch. Altre informazioni sulla crittografia dei dischi in Batch sono disponibili all'indirizzo https://docs.microsoft.com/azure/batch/disk-encryption. | Audit, Disabled, Deny | 1.0.0 |
| Gli account Batch devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli account Batch richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/batch/auth. | Audit, Deny, Disabled | 1.0.0 |
| Configurare gli account Batch per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che gli account Batch richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/batch/auth. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli account Batch per disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Altre informazioni sulla disabilitazione dell'accesso alla rete pubblica sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli account Batch con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli account Batch, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare le zone DNS private per gli endpoint privati che si connettono agli account Batch | DNS privato record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Batch, vedere https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| È consigliabile configurare le regole di avviso per le metriche negli account Batch | Controlla la configurazione delle regole di avviso delle metriche per l'account Batch per abilitare la metrica richiesta | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile abilitare le connessioni endpoint private per gli account Batch | Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Altre informazioni sugli endpoint privati in Batch sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, Disabled | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per gli account Batch | La disabilitazione dell'accesso alla rete pubblica in un account Batch migliora la sicurezza assicurando che l'account Batch sia accessibile solo da un endpoint privato. Altre informazioni sulla disabilitazione dell'accesso alla rete pubblica sono disponibili in https://docs.microsoft.com/azure/batch/private-connectivity. | Audit, Deny, Disabled | 1.0.0 |
| È necessario abilitare i log delle risorse negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Servizio Bot
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'endpoint del servizio Bot deve essere un URI HTTPS valido | I dati possono essere alterati durante la trasmissione. Esistono protocolli contenenti la crittografia per risolvere i problemi di uso improprio e manomissioni. Per assicurarsi che i bot comunichino solo su canali crittografati, impostare l'endpoint su un URI HTTPS valido. Ciò garantisce che venga usato il protocollo HTTPS per crittografare i dati in transito ed è spesso un requisito per la conformità agli standard di settore o alle normative. Visitare: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| servizio Bot deve essere crittografato con una chiave gestita dal cliente | Azure servizio Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia servizio Bot di Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| servizio Bot deve essere abilitata la modalità isolata | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione consente di configurare servizio Bot canali che richiedono che il traffico su Internet pubblico sia disabilitato. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| servizio Bot devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che un bot usi AAD esclusivamente per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| servizio Bot deve essere disabilitato l'accesso alla rete pubblica | I bot devono essere impostati sulla modalità "solo isolato". Questa impostazione consente di configurare servizio Bot canali che richiedono che il traffico su Internet pubblico sia disabilitato. | Audit, Deny, Disabled | 1.0.0 |
| Le risorse di BotService devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa BotService, i rischi di perdita dei dati vengono ridotti. | Audit, Disabled | 1.0.0 |
| Configurare le risorse di BotService per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse correlate a BotService. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse botService con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alla risorsa BotService, è possibile ridurre i rischi di perdita dei dati. | DeployIfNotExists, Disabled | 1.0.0 |
Cache
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| cache di Azure per Redis disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il cache di Azure per Redis non sia esposto su Internet pubblico. È possibile limitare l'esposizione dei cache di Azure per Redis creando invece endpoint privati. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Audit, Deny, Disabled | 1.0.0 |
| cache di Azure per Redis deve usare un collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis per disabilitare le porte non SSL | Abilitare solo le connessioni SSL a cache di Azure per Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modificare, Disabilitata | 1.0.0 |
| Configurare cache di Azure per Redis per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa cache di Azure per Redis in modo che non sia accessibile tramite la rete Internet pubblica. Ciò consente di proteggere la cache da rischi di perdita di dati. | Modificare, Disabilitata | 1.0.0 |
| Configurare cache di Azure per Redis per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere cache di Azure per Redis. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle risorse cache di Azure per Redis, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/redis/privateendpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis | Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 1.0.0 |
Rete CDN
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I profili frontdoor di Azure devono usare il livello Premium che supporta le regole WAF gestite e il collegamento privato | Frontdoor di Azure Premium supporta le regole WAF gestite di Azure e il collegamento privato alle origini di Azure supportate. | Audit, Deny, Disabled | 1.0.0 |
| Frontdoor di Azure Standard e Premium devono eseguire la versione minima di TLS 1.2 | L'impostazione della versione minima di TLS su 1.2 migliora la sicurezza assicurando che i domini personalizzati siano accessibili dai client che usano TLS 1.2 o versione successiva. L'uso di versioni di TLS inferiori a 1.2 non è consigliato perché sono deboli e non supportano algoritmi di crittografia moderni. | Audit, Deny, Disabled | 1.0.0 |
| Proteggere la connettività privata tra Frontdoor di Azure Premium e BLOB Archiviazione di Azure o app Azure Servizio | Il collegamento privato garantisce la connettività privata tra AFD Premium e Archiviazione di Azure BLOB o app Azure Servizio tramite la rete backbone di Azure, senza che il BLOB Archiviazione di Azure o il servizio app Azure venga esposto pubblicamente a Internet. | Audit, Disabled | 1.0.0 |
ChangeTrackingAndInventory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Configurare i computer abilitati per Linux Arc per l'associazione a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci Associazione per collegare computer abilitati per Linux Arc a una regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer abilitati per Linux Arc per installare AMA per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Anteprima]: Configurare l'Macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuire Association per collegare le macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0-preview |
| [Anteprima]: Configurare un set di scalabilità di macchine virtuali Linux da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuire Association per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventory. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Linux per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0-preview |
| [Anteprima]: Configurare i computer abilitati per Windows Arc da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci associazione per collegare i computer abilitati per Windows Arc alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer abilitati per Windows Arc per installare AMA per ChangeTracking e Inventario | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare Windows Macchine virtuali da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows per installare AMA per ChangeTracking e Inventario con identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Windows da associare a una regola di raccolta dati per ChangeTracking e inventario | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata per abilitare ChangeTracking e Inventario. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali Windows per installare AMA per ChangeTracking e Inventario con l'identità gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per abilitare ChangeTracking e Inventory. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.0.0-preview |
Servizi cognitivi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente | Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sulle chiavi gestite dal cliente sono disponibili in https://go.microsoft.com/fwlink/?linkid=2121321. | Audit, Deny, Disabled | 2.1.0 |
| Gli account di Servizi cognitivi devono usare un'identità gestita | L'assegnazione di un'identità gestita all'account di Servizi cognitivi consente di garantire l'autenticazione sicura. Questa identità viene usata da questo account del servizio cognitivo per comunicare con altri servizi di Azure, ad esempio Azure Key Vault, in modo sicuro senza dover gestire le credenziali. | Audit, Deny, Disabled | 1.0.0 |
| Gli account Servizi cognitivi devono usare spazio di archiviazione di proprietà del cliente | Usare l'archiviazione di proprietà del cliente per controllare i dati archiviati inattivi in Servizi cognitivi. Per altre informazioni sull'archiviazione di proprietà del cliente, visitare https://aka.ms/cogsvc-cmk. | Audit, Deny, Disabled | 2.0.0 |
| Servizi cognitivi deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | Audit, Disabled | 3.0.0 |
| Configurare gli account di Servizi cognitivi per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account servizi cognitivi richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/cs/auth. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli account di Servizi cognitivi per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa di Servizi cognitivi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2129800. | Disabilitato, Modifica | 3.0.0 |
| Configurare gli account di Servizi cognitivi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli account di Servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account di Servizi cognitivi con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, Disabled | 3.0.0 |
Calcolo
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| SKU di dimensioni di macchine virtuali consentiti | Questo criterio consente di specificare un set di SKU di dimensioni di macchine virtuali che possono essere distribuiti dall'organizzazione. | Nega | 1.0.1 |
| Controlla macchine virtuali in cui non è configurato il ripristino di emergenza | Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Controlla macchine virtuali che non usano dischi gestiti | Questo criterio controlla le macchine virtuali che non usano dischi gestiti | controllo | 1.0.0 |
| Configurare il ripristino di emergenza nelle macchine virtuali abilitando la replica tramite Azure Site Recovery | Le macchine virtuali senza configurazioni di ripristino di emergenza sono vulnerabili a interruzioni e altre interruzioni. Se la macchina virtuale non dispone già di un ripristino di emergenza configurato, verrà avviata la stessa operazione abilitando la replica usando configurazioni predefinite per facilitare la continuità aziendale. Facoltativamente, è possibile includere/escludere macchine virtuali contenenti un tag specificato per controllare l'ambito dell'assegnazione. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare le risorse di accesso al disco per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un disco gestito. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di accesso al disco con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di accesso al disco, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i dischi gestiti per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa disco gestito in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Modificare, Disabilitata | 2.0.0 |
| Distribuisci estensione IaaSAntimalware Microsoft predefinita per Windows Server | Questo criterio distribuisce un'estensione IaaSAntimalware Microsoft con una configurazione predefinita quando in una macchina virtuale non è configurata l'estensione antimalware. | deployIfNotExists | 1.1.0 |
| Le risorse di accesso al disco devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, Disabled | 1.0.0 |
| I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente | I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. | Audit, Deny, Disabled | 1.0.0 |
| I dischi gestiti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che un disco gestito non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei dischi gestiti. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | Audit, Disabled | 2.0.0 |
| I dischi gestiti devono usare un set specifico di set di crittografia dischi per la crittografia della chiave gestita dal cliente | La richiesta di un set specifico di set di crittografia del disco da usare con i dischi gestiti consente di controllare le chiavi usate per la crittografia dei dati inattivi. È possibile selezionare i set crittografati consentiti e tutti gli altri vengono rifiutati quando collegati a un disco. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 2.0.0 |
| È consigliabile configurare Microsoft Antimalware per Azure per aggiornare automaticamente le firme di protezione | Questo criterio controlla le macchine virtuali Windows non configurate con l'aggiornamento automatico delle firme di protezione di Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile distribuire l'estensione Microsoft IaaSAntimalware nei server Windows | Questo criterio controlla le macchine virtuali Windows Server in cui non è distribuita l'estensione Microsoft IaaSAntimalware. | AuditIfNotExists, Disabled | 1.1.0 |
| Devono essere installate solo le estensioni macchina virtuale approvate | Questo criterio regolamenta le estensioni macchina virtuale non approvate. | Audit, Deny, Disabled | 1.0.0 |
| I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto dei dischi gestiti. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. | Audit, Deny, Disabled | 3.0.0 |
| Proteggere i dati con i requisiti di autenticazione durante l'esportazione o il caricamento in un disco o uno snapshot. | Quando si usa l'URL di esportazione/caricamento, il sistema controlla se l'utente ha un'identità in Azure Active Directory e dispone delle autorizzazioni necessarie per esportare/caricare i dati. Fare riferimento a aka.ms/DisksAzureADAuth. | Modificare, Disabilitata | 1.0.0 |
| Richiedi l'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali | Questo criterio impone l'abilitazione dell'applicazione automatica di patch alle immagini del sistema operativo nei set di scalabilità di macchine virtuali per mantenere sempre protette le macchine virtuali, applicando le patch di sicurezza più recenti ogni mese. | rifiutare | 1.0.0 |
| Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager | Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
App contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'autenticazione deve essere abilitata nelle app contenitore | L'autenticazione di App contenitore è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app contenitore o autenticare gli utenti con token prima di raggiungere l'app contenitore | AuditIfNotExists, Disabled | 1.0.1 |
| Gli ambienti dell'app contenitore devono usare l'inserimento di rete | Gli ambienti app contenitore devono usare l'inserimento della rete virtuale per: 1.Isolare le app contenitore dalla rete Internet 2.Abilitare l'integrazione di rete con risorse locali o in altre reti virtuali di Azure 3.Ottenere un controllo più granulare sul traffico di rete che passa da e verso l'ambiente. | Audit, Disabled, Deny | 1.0.2 |
| L'app contenitore deve essere configurata con il montaggio del volume | Applicare l'uso dei montaggi di volumi per app contenitore per garantire la disponibilità della capacità di archiviazione permanente. | Audit, Deny, Disabled | 1.0.1 |
| L'ambiente app contenitore deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per migliorare la sicurezza esponendo l'ambiente App contenitore tramite un servizio di bilanciamento del carico interno. In questo modo viene rimossa la necessità di un indirizzo IP pubblico e viene impedito l'accesso a Internet a tutte le app contenitore all'interno dell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| App contenitore deve disabilitare l'accesso alla rete esterna | Disabilitare l'accesso alla rete esterna alle app contenitore applicando l'ingresso solo interno. In questo modo, le comunicazioni in ingresso per le app contenitore sono limitate ai chiamanti all'interno dell'ambiente App contenitore. | Audit, Deny, Disabled | 1.0.1 |
| Le app contenitore devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. La disabilitazione di "allowInsecure" comporterà il reindirizzamento automatico delle richieste da connessioni HTTP a HTTPS per le app contenitore. | Audit, Deny, Disabled | 1.0.1 |
| L'identità gestita deve essere abilitata per le app contenitore | L'applicazione dell'identità gestita garantisce che le app contenitore possano eseguire l'autenticazione sicura in qualsiasi risorsa che supporti l'autenticazione di Azure AD | Audit, Deny, Disabled | 1.0.1 |
Istanza di contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il gruppo di contenitori dell'istanza di Azure Container deve essere distribuito in una rete virtuale | Proteggere la comunicazione tra i contenitori con i Rete virtuale di Azure. Quando si specifica una rete virtuale, le risorse all'interno della rete virtuale possono comunicare in modo sicuro e privato tra loro. | Audit, Disabled, Deny | 2.0.0 |
| Il gruppo di contenitori dell'istanza di Azure Container deve usare la chiave gestita dal cliente per la crittografia | Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled, Deny | 1.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di contenitori nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'istanza di contenitore per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creata o aggiornata un'istanza del contenitore mancante. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Istanze di contenitore
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare la diagnostica per il gruppo di contenitori nell'area di lavoro Log Analytics | Aggiunge l'elemento workspaceId e workspaceKey di Log Analytics specificato quando viene creato o aggiornato un gruppo di contenitori mancante. Non modifica i campi dei gruppi di contenitori creati prima dell'applicazione di questo criterio fino a quando tali gruppi di risorse non vengono modificati. | Append, Disabled | 1.0.0 |
Registro Container
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare i registri contenitori per disabilitare l'autenticazione anonima. | Disabilitare il pull anonimo per il Registro di sistema in modo che i dati non siano accessibili dall'utente non autenticato. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modificare, Disabilitata | 1.0.0 |
| Configurare i registri contenitori per disabilitare l'autenticazione del token del gruppo di destinatari arm. | Disabilitare i token del gruppo di destinatari arm di Azure Active Directory per l'autenticazione nel registro. Per l'autenticazione verranno usati solo i token di gruppo di destinatari di Registro Azure Container (ACR). In questo modo è possibile usare solo i token destinati all'utilizzo nel Registro di sistema per l'autenticazione. La disabilitazione dei token del gruppo di destinatari arm non influisce sull'autenticazione dei token di accesso con ambito o dell'utente amministratore. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modificare, Disabilitata | 1.0.0 |
| Configurare i registri contenitori per disabilitare l'account amministratore locale. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modificare, Disabilitata | 1.0.1 |
| Configurare i registri contenitori per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa registro Contenitori in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Modificare, Disabilitata | 1.0.0 |
| Configurare i registri contenitori per disabilitare il token di accesso con ambito repository. | Disabilitare i token di accesso con ambito repository per il registro in modo che i repository non siano accessibili dai token. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Modificare, Disabilitata | 1.0.0 |
| Configurare i registri contenitori per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere il problema nel Registro Container. Per altre informazioni, vedere: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare registri contenitori con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle risorse del registro contenitori Premium, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere: https://aka.ms/privateendpoints e https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| I registri contenitori devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Audit, Deny, Disabled | 1.1.2 |
| I registri contenitori devono avere disabilitata l'autenticazione anonima. | Disabilitare il pull anonimo per il registro in modo che i dati non siano accessibili dall'utente non autenticato. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono avere disabilitata l'autenticazione del token del gruppo di destinatari arm. | Disabilitare i token del gruppo di destinatari arm di Azure Active Directory per l'autenticazione nel registro. Per l'autenticazione verranno usati solo i token di gruppo di destinatari di Registro Azure Container (ACR). In questo modo è possibile usare solo i token destinati all'utilizzo nel Registro di sistema per l'autenticazione. La disabilitazione dei token del gruppo di destinatari arm non influisce sull'autenticazione dei token di accesso con ambito o dell'utente amministratore. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono avere esportazioni disabilitate | La disabilitazione delle esportazioni migliora la sicurezza assicurando che l'accesso ai dati in un registro venga eseguito esclusivamente tramite il piano dati ('docker pull'). I dati non possono essere spostati dal Registro di sistema tramite 'acr import' o 'acr transfer'. Per disabilitare le esportazioni, l'accesso alla rete pubblica deve essere disabilitato. Per altre informazioni, vedere https://aka.ms/acr/export-policy. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono avere un account amministratore locale disabilitato. | Disabilitare l'account amministratore per il Registro di sistema in modo che non sia accessibile dall'amministratore locale. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.1 |
| I registri contenitori devono avere disabilitato il token di accesso con ambito repository. | Disabilitare i token di accesso con ambito repository per il registro in modo che i repository non siano accessibili dai token. La disabilitazione di metodi di autenticazione locali come l'utente amministratore, i token di accesso con ambito repository e il pull anonimo migliorano la sicurezza assicurando che i registri contenitori richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/acr/authentication. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono avere SKU che supportano collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Audit, Deny, Disabled | 2.0.0 |
| I registri contenitori devono impedire la creazione di regole della cache | Disabilitare la creazione di regole della cache per il Registro Azure Container per impedire il pull tramite cache. Per altre informazioni, vedere https://aka.ms/acr/cache. | Audit, Deny, Disabled | 1.0.0 |
| I registri contenitori devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Audit, Disabled | 1.0.1 |
| L'accesso alla rete pubblica deve essere disabilitato per i registri contenitori | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che i registri contenitori non siano esposti su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse del registro contenitori. Per altre informazioni, vedere: https://aka.ms/acr/portal/public-network e https://aka.ms/acr/private-link. | Audit, Deny, Disabled | 1.0.0 |
Cosmos DB
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Per gli account di Azure Cosmos DB devono essere definite regole del firewall | Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Audit, Deny, Disabled | 2.0.0 |
| Gli account Azure Cosmos DB non devono superare il numero massimo di giorni consentiti dopo la rigenerazione dell'ultima chiave dell'account. | Rigenerare le chiavi nel tempo specificato per mantenere i dati più protetti. | Audit, Disabled | 1.0.0 |
| Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Località consentite per Azure Cosmos DB | Questo criterio consente di limitare le località che possono essere specificate dall'organizzazione durante la distribuzione delle risorse Azure Cosmos DB. Usare per imporre requisiti di conformità geografica. | [parameters('policyEffect')] | 1.1.0 |
| L'accesso in scrittura ai metadati basati su chiave di Azure Cosmos DB deve essere disabilitato | Questo criterio consente di garantire che per tutti gli account Azure Cosmos DB sia disabilitato l'accesso in scrittura ai metadati basati su chiave. | append | 1.0.0 |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Audit, Deny, Disabled | 1.0.0 |
| La velocità effettiva di Azure Cosmos DB deve essere limitata | Questo criterio consente di limitare la velocità effettiva massima che l'organizzazione può specificare durante la creazione di contenitori e database di Azure Cosmos DB tramite il provider di risorse. Blocca la creazione di risorse di scalabilità automatica. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Configurare gli account del database Cosmos DB per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli account di database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Modificare, Disabilitata | 1.1.0 |
| Configurare gli account CosmosDB per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa CosmosDB in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Modificare, Disabilitata | 1.0.1 |
| Configurare gli account CosmosDB per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account CosmosDB. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare gli account CosmosDB con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account CosmosDB, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Per gli account di database Cosmos DB i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Audit, Deny, Disabled | 1.1.0 |
| Gli account Cosmos DB devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, Disabled | 1.0.0 |
| Distribuisci Advanced Threat Protection per gli account Cosmos DB | Questo criterio abilita Advanced Threat Protection negli account Cosmos DB. | DeployIfNotExists, Disabled | 1.0.0 |
Provider personalizzato
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Distribuisci le associazioni per un provider personalizzato | Distribuisce una risorsa di associazione che associa i tipi di risorse selezionate al provider personalizzato specificato. Questa distribuzione dei criteri non supporta i tipi di risorse annidati. | deployIfNotExists | 1.0.0 |
Data Box
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo | Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo | Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. | Audit, Deny, Disabled | 1.0.0 |
Data Factory
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le pipeline di Azure Data Factory devono comunicare solo con domini consentiti | Per evitare l'esfiltrazione di dati e token, impostare i domini con cui Azure Data Factory deve essere autorizzato a comunicare. Nota: durante l'anteprima pubblica, la conformità per questo criterio non viene segnalata e per i criteri da applicare a Data Factory, abilitare la funzionalità delle regole in uscita in ADF Studio. Per altre informazioni, vedere https://aka.ms/data-exfiltration-policy. | Deny, Disabled | 1.0.0-preview |
| Le data factory di Azure devono essere crittografate con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Data Factory. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. | Audit, Deny, Disabled | 1.0.1 |
| Il runtime di integrazione di Azure Data Factory deve avere un limite per il numero di core | Per gestire le risorse e i costi, limitare il numero di core per un runtime di integrazione. | Audit, Deny, Disabled | 1.0.0 |
| Il tipo di risorsa del servizio collegato di Azure Data Factory deve essere incluso nell'elenco elementi consentiti | Definire l'elenco consenti dei tipi di servizio collegati di Azure Data Factory. La limitazione dei tipi di risorse consentiti consente di controllare il limite dello spostamento dei dati. Ad esempio, limitare un ambito per consentire l'archiviazione BLOB solo con Data Lake Archiviazione Gen1 e Gen2 per l'analisi o un ambito per consentire solo l'accesso a SQL e Kusto per le query in tempo reale. | Audit, Deny, Disabled | 1.1.0 |
| I servizi collegati di Azure Data Factory devono usare Key Vault per l'archiviazione dei segreti | Per garantire che i segreti (ad esempio stringa di connessione) siano gestiti in modo sicuro, richiedere agli utenti di fornire segreti usando Un insieme di credenziali delle chiavi di Azure anziché specificarli inline nei servizi collegati. | Audit, Deny, Disabled | 1.0.0 |
| I servizi collegati di Azure Data Factory devono usare l'autenticazione dell'identità gestita assegnata dal sistema quando è supportata | L'uso dell'identità gestita assegnata dal sistema durante la comunicazione con gli archivi dati tramite servizi collegati evita l'uso di credenziali meno protette, ad esempio password o stringa di connessione. | Audit, Deny, Disabled | 2.1.0 |
| Azure Data Factory deve usare un repository Git per il controllo del codice sorgente | Configurare solo la data factory di sviluppo con l'integrazione di Git. Le modifiche apportate ai test e alla produzione devono essere distribuite tramite CI/CD e non devono avere l'integrazione Git. NON applicare questo criterio nelle data factory qa/test/produzione. | Audit, Deny, Disabled | 1.0.1 |
| Azure Data Factory deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare data factory per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Data Factory in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Modificare, Disabilitata | 1.0.0 |
| Configurare zone DNS private per endpoint privati che si connettono ad Azure Data Factory | DNS privato record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata ad Azure Data Factory senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Azure Data Factory, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare endpoint privati per data factory | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati ad Azure Data Factory, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.1.0 |
| L'accesso alla rete pubblica in Azure Data Factory deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che Azure Data Factory sia accessibile solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| I runtime di integrazione di SQL Server Integration Services in Azure Data Factory devono essere aggiunti a una rete virtuale | La distribuzione di Azure Rete virtuale offre sicurezza e isolamento avanzati per i runtime di integrazione di SQL Server Integration Services in Azure Data Factory, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. | Audit, Deny, Disabled | 2.3.0 |
Data Lake
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Richiedi crittografia per gli account Data Lake Store | Questo criterio garantisce che la crittografia sia abilitata in tutti gli account Data Lake Store | rifiutare | 1.0.0 |
| È necessario abilitare i log delle risorse in Azure Data Lake Store | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| I log delle risorse in Data Lake Analytics devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Virtualizzazione desktop
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I pool di host di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza e mantiene i dati al sicuro assicurando che l'accesso al servizio Desktop virtuale Azure non sia esposto alla rete Internet pubblica. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| I pool di host di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica solo sugli host di sessione | La disabilitazione dell'accesso alla rete pubblica per gli host della sessione del pool di host di Desktop virtuale Azure, ma consentendo l'accesso pubblico per gli utenti finali migliora la sicurezza limitando l'esposizione a Internet pubblico. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Desktop virtuale Azure deve usare un collegamento privato | L'uso di collegamento privato di Azure con le risorse di Desktop virtuale Azure può migliorare la sicurezza e mantenere i dati al sicuro. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/avdprivatelink. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Desktop virtuale Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica per la risorsa dell'area di lavoro di Desktop virtuale Azure impedisce che il feed sia accessibile tramite Internet pubblico. Consentire solo l'accesso alla rete privata migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Audit, Deny, Disabled | 1.0.0 |
| Configurare le risorse del pool di host di Desktop virtuale Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per gli host di sessione e gli utenti finali nella risorsa del pool di host di Desktop virtuale Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modificare, Disabilitata | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica solo per gli host sessione | Disabilitare l'accesso alla rete pubblica per gli host sessione del pool di host di Desktop virtuale Azure, ma consentire l'accesso pubblico per gli utenti finali. In questo modo gli utenti possono comunque accedere al servizio AVD assicurandosi che l'host sessione sia accessibile solo tramite route private. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modificare, Disabilitata | 1.0.0 |
| Configurare i pool di host di Desktop virtuale Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di Desktop virtuale Azure, è possibile migliorare la sicurezza e proteggere i dati. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse dell'area di lavoro di Desktop virtuale Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Desktop virtuale Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa dell'area di lavoro di Desktop virtuale Azure in modo che il feed non sia accessibile tramite Internet pubblico. Ciò migliora la sicurezza e mantiene i dati al sicuro. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Desktop virtuale Azure con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di Desktop virtuale Azure, è possibile migliorare la sicurezza e proteggere i dati. Per altre informazioni, vedere https://aka.ms/avdprivatelink. | DeployIfNotExists, Disabled | 1.0.0 |
DevCenter
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I pool di Microsoft Dev Box non devono usare le reti ospitate da Microsoft. | Non consente l'uso di reti ospitate Microsoft durante la creazione di risorse del pool. | Audit, Deny, Disabled | 1.0.0-preview |
ElasticSan
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| ElasticSan deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per ElasticSan in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Il gruppo di volumi ElasticSan deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del volumeGroup. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dalla piattaforma, ma i cmk sono comunemente necessari per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. | Audit, Disabled | 1.0.0 |
| Il gruppo di volumi ElasticSan deve usare endpoint privati | Gli endpoint privati consentono all'amministratore di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati al gruppo di volumi, l'amministratore può ridurre i rischi di perdita dei dati | Audit, Disabled | 1.0.0 |
Griglia di eventi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Griglia di eventi di Azure domini devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Griglia di eventi di Azure domini devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Griglia di eventi di Azure domini richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| I domini di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Griglia di eventi di Azure broker MQTT dello spazio dei nomi deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Griglia di eventi di Azure gestore di argomenti dello spazio dei nomi deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati allo spazio dei nomi di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Disabled | 1.0.0 |
| Griglia di eventi di Azure gli spazi dei nomi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Griglia di eventi di Azure gli spazi dei nomi dei partner devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi dei partner Griglia di eventi di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Griglia di eventi di Azure argomenti devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Deny, Disabled | 1.0.0 |
| Griglia di eventi di Azure argomenti devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Griglia di eventi di Azure argomenti richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Audit, Disabled | 1.0.2 |
| Configurare i domini Griglia di eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i domini Griglia di eventi di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modificare, Disabilitata | 1.0.0 |
| Configurare Griglia di eventi di Azure broker MQTT dello spazio dei nomi con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Griglia di eventi di Azure spazi dei nomi partner per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi dei partner Griglia di eventi di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modificare, Disabilitata | 1.0.0 |
| Configurare Griglia di eventi di Azure argomenti per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli argomenti Griglia di eventi di Azure richiedano esclusivamente le identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aeg-disablelocalauth. | Modificare, Disabilitata | 1.0.0 |
| Deploy - Configurare i domini di Griglia di eventi di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuisci : configurare i domini di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Deploy - Configurare gli argomenti Griglia di eventi di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuire : configurare gli argomenti di Griglia di eventi di Azure con endpoint privati | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse, questi verranno protetti da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Modifica : configurare i domini di Griglia di eventi di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Griglia di eventi di Azure risorsa in modo che non sia accessibile tramite la rete Internet pubblica. Ciò consentirà di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modificare, Disabilitata | 1.0.0 |
| Modifica- Configurare gli argomenti Griglia di eventi di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per Griglia di eventi di Azure risorsa in modo che non sia accessibile tramite la rete Internet pubblica. Ciò consentirà di proteggerli dai rischi di perdita di dati. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Modificare, Disabilitata | 1.0.0 |
Hub eventi
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile rimuovere tutte le regole di autorizzazione ad eccezione di RootManageSharedAccessKey dallo spazio dei nomi di Hub eventi | I client di Hub eventi non devono usare un criterio di accesso a livello di spazio dei nomi che assicura l'accesso a tutte le code e gli argomenti in uno spazio dei nomi. Per essere conformi al modello di sicurezza basato su privilegi minimi, è consigliabile creare criteri di accesso a livello di entità per code e argomenti in modo da fornire l'accesso solo all'entità specifica | Audit, Deny, Disabled | 1.0.1 |
| È consigliabile definire le regole di autorizzazione nell'istanza di Hub eventi | Controlla l'esistenza di regole di autorizzazione nelle entità di Hub eventi per concedere l'accesso con privilegi minimi | AuditIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi di Azure devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi dell'hub eventi di Azure richiedano esclusivamente le identità ID Di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-eh. | Audit, Deny, Disabled | 1.0.1 |
| Configurare gli spazi dei nomi di Hub eventi di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi dell'hub eventi di Azure richiedano esclusivamente le identità id di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-eh. | Modificare, Disabilitata | 1.0.1 |
| Configurare gli spazi dei nomi di Hub eventi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi di Hub eventi con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati agli spazi dei nomi di Hub eventi, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Gli spazi dei nomi dell'hub eventi devono disabilitare l'accesso alla rete pubblica | L'hub eventi di Azure deve avere l'accesso alla rete pubblica disabilitato. La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/event-hubs/private-link-service | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare una chiave gestita dal cliente per la crittografia | Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. | Audit, Disabled | 1.0.0 |
| Gli spazi dei nomi di Hub eventi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| I log delle risorse nell'hub eventi devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Inoltro fluido
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Fluid Relay deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del server di inoltro fluido. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente, con controllo completo e responsabilità, inclusa la rotazione e la gestione. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Audit, Disabled | 1.0.0 |
Generali
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Località consentite | Questi criteri consentono di limitare le posizioni che l'organizzazione può specificare durante la distribuzione delle risorse. Usare per imporre requisiti di conformità geografica. Esclude i gruppi di risorse, Microsoft.AzureActiveDirectory/b2cDirectories e le risorse che usano l'area "global". | rifiutare | 1.0.0 |
| Località consentite per i gruppi di risorse | Questi criteri consentono di limitare le località in cui l'organizzazione può creare gruppi di risorse. Usare per imporre requisiti di conformità geografica. | rifiutare | 1.0.0 |
| Tipi di risorse consentiti | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può distribuire. Solo i tipi di risorse che supportano i 'tag' e la 'località' saranno interessati dal criterio. Per includere tutte le risorse, duplicare il criterio e modificare la 'modalità' impostandola su 'Tutte'. | rifiutare | 1.0.0 |
| Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | Controlla che la località della risorsa corrisponda alla località del gruppo di risorse | controllo | 2.0.0 |
| Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Audit, Disabled | 1.0.1 |
| Configurare le sottoscrizioni per configurare le funzionalità di anteprima | Questo criterio valuta le funzionalità di anteprima della sottoscrizione esistente. Le sottoscrizioni possono essere corrette per la registrazione a una nuova funzionalità di anteprima. Le nuove sottoscrizioni non verranno registrate automaticamente. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Non consentire l'eliminazione dei tipi di risorse | Questo criterio consente di specificare i tipi di risorse che l'organizzazione può proteggere dall'eliminazione accidentale bloccando le chiamate di eliminazione usando l'effetto di negazione dell'azione. | DenyAction, Disabled | 1.0.1 |
| Non consentire risorse M365 | Blocca la creazione di risorse M365. | Audit, Deny, Disabled | 1.0.0 |
| Non consentire risorse MCPP | Bloccare la creazione di risorse MCPP. | Audit, Deny, Disabled | 1.0.0 |
| Escludere le risorse dei costi di utilizzo | Questo criterio consente di estrarre le risorse dei costi di utilizzo. I costi di utilizzo includono elementi come l'archiviazione a consumo e le risorse di Azure fatturate in base all'utilizzo. | Audit, Deny, Disabled | 1.0.0 |
| Tipi di risorse non consentiti | Limitare i tipi di risorse che possono essere distribuiti nell'ambiente in uso. La limitazione dei tipi di risorse può ridurre la complessità e la superficie di attacco dell'ambiente, consentendo allo stesso tempo di gestire i costi. I risultati della conformità vengono visualizzati solo per le risorse non conformi. | Audit, Deny, Disabled | 2.0.0 |
Configurazione guest
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Aggiungere un'identità gestita assegnata dall'utente per abilitare le assegnazioni di configurazione guest nelle macchine virtuali | Questo criterio aggiunge un'identità gestita assegnata dall'utente alle macchine virtuali ospitate in Azure supportate dalla configurazione guest. Un'identità gestita assegnata dall'utente è un prerequisito per tutte le assegnazioni di configurazione guest e deve essere aggiunta ai computer prima di usare le definizioni dei criteri di configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: configurare Windows Server per disabilitare gli utenti locali. | Crea un'assegnazione configurazione guest per configurare la disabilitazione degli utenti locali in Windows Server. In questo modo si garantisce che i server Windows possano accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i Aggiornamenti di sicurezza estesa devono essere installati nei computer Windows Server 2012 Arc. | I computer Windows Server 2012 Arc devono aver installato tutti i Aggiornamenti di sicurezza estesa rilasciati da Microsoft. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Azure per gli host Docker | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di Azure per gli host Docker. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i computer Linux devono soddisfare i requisiti di conformità STIG per il calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per uno dei consigli indicati nel requisito di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli, https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: i computer Linux con OMI installato devono avere la versione 1.6.8-1 o successiva | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. A causa di una correzione di sicurezza inclusa nella versione 1.6.8-1 del pacchetto OMI per Linux, tutti i computer devono essere aggiornati alla versione più recente. Aggiornare app/pacchetti che usano OMI per risolvere il problema. Per ulteriori informazioni, vedere https://aka.ms/omiguidance. | AuditIfNotExists, Disabled | 1.2.0-preview |
| [Anteprima]: Nexus Compute Machines deve soddisfare la baseline di sicurezza | Usa l'agente di configurazione guest Criteri di Azure per il controllo. Questo criterio garantisce che i computer rispettino la baseline di sicurezza di calcolo Nexus, includendo varie raccomandazioni progettate per rafforzare i computer rispetto a una serie di vulnerabilità e configurazioni non sicure (solo Linux). | AuditIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: i computer Windows devono soddisfare i requisiti di conformità STIG per l'ambiente di calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni riportate nei requisiti di conformità STIG per l'ambiente di calcolo di Azure. DISA (Defense Information Systems Agency) fornisce guide tecniche STIG (Security Technical Implementation Guide) per proteggere il sistema operativo di calcolo come richiesto dal Dipartimento della Difesa (DoD). Per altri dettagli, https://public.cyber.mil/stigs/. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente | Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | modify | 4.1.0 |
| Controlla i computer Linux che consentono connessioni remote da account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro non sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla i computer Linux in cui sono presenti account senza password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password | AuditIfNotExists, Disabled | 3.1.0 |
| Controlla i computer Linux in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la risorsa Chef InSpec indica che uno o più pacchetti forniti dal parametro sono installati. | AuditIfNotExists, Disabled | 4.2.0 |
| Controlla i computer Windows in cui manca uno dei membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale non contiene uno o più membri elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla la connettività di rete dei computer Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se lo stato di una connessione di rete a un indirizzo IP e alla porta TCP non corrisponde al parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui la configurazione DSC non è conforme | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-DSCConfigurationStatus di Windows PowerShell restituisce che la configurazione DSC per il computer non è conforme. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui l'agente di Log Analytics non è connesso come previsto | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'agente non è installato o se è installato ma l'oggetto COM AgentConfigManager.MgmtSvcCfg restituisce che è registrato in un'area di lavoro diversa dall'ID specificato nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui i servizi specificati non sono installati e in esecuzione | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il risultato del comando Get-Service di Windows PowerShell non include il nome del servizio con stato corrispondente come specificato nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows in cui la console seriale Windows non è abilitata | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nel computer non è installato il software della console seriale o se il numero di porta o la velocità in baud di Servizi di gestione emergenze non sono configurati con gli stessi valori dei parametri dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che consentono il riutilizzo delle password dopo il numero specificato di password univoche | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non sono aggiunti al dominio specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà del dominio nella classe WMI win32_computersystem non corrisponde il valore nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono impostati sul fuso orario specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il valore della proprietà StandardName nella classe WMI Win32_TimeZone non corrisponde al fuso orario selezionato per parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che contengono certificati in scadenza entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i certificati nell'archivio specificato presentano una data di scadenza non compresa nell'intervallo consentito per il numero di giorni fornito come parametro. Il criterio offre inoltre l'opzione di controllare solo certificati specifici o di escludere determinati certificati e inviare una segnalazione per i certificati scaduti. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non contengono i certificati specificati nell'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se l'archivio certificati Autorità di certificazione radice disponibile nell'elenco locale (Cert:\LocalMachine\Root) non contiene uno o più certificati elencati nel parametro dei criteri. | auditIfNotExists | 3.0.0 |
| Controlla i computer Windows che non hanno la validità massima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono disponibili i criteri di esecuzione di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il comando Get-ExecutionPolicy di Windows PowerShell restituisce un valore diverso da quello selezionato nel parametro dei criteri. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui non sono installati i moduli di Windows PowerShell specificati | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se un modulo non è disponibile in una posizione specificata dalla variabile di ambiente PSModulePath. | AuditIfNotExists, Disabled | 3.0.0 |
| Controlla i computer Windows in cui la lunghezza minima della password non è limitata a un numero specificato di caratteri | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri | AuditIfNotExists, Disabled | 2.1.0 |
| Controlla i computer Windows che non archiviano le password usando la crittografia reversibile | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile | AuditIfNotExists, Disabled | 2.0.0 |
| Controlla i computer Windows in cui non sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione non viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti account in eccesso nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows che non sono stati riavviati entro il numero di giorni specificato | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se la proprietà WMI LastBootUpTime nella classe Win32_Operatingsystem non è compresa nell'intervallo di giorni fornito dal parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono installate le applicazioni specificate | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il nome dell'applicazione viene trovato in uno dei percorsi del Registro di sistema seguenti: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Controlla i computer Windows in cui sono presenti i membri specificati nel gruppo Administrators | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il gruppo Administrators locale contiene membri non elencati nel parametro dei criteri. | auditIfNotExists | 2.0.0 |
| Controlla le macchine virtuali Windows in attesa di riavvio | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se il computer è in attesa di riavvio per uno dei motivi seguenti: manutenzione basata su componenti, Windows Update, ridenominazione file in sospeso, ridenominazione computer in sospeso, Gestione configurazione in attesa di riavvio. Per ogni rilevamento è presente un percorso del Registro di sistema univoco. | auditIfNotExists | 2.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Configurare Linux Server per disabilitare gli utenti locali. | Crea un'assegnazione di configurazione guest per configurare la disabilitazione degli utenti locali in Linux Server. In questo modo, i server Linux possono accedere solo tramite l'account AAD (Azure Active Directory) o un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | DeployIfNotExists, Disabled | 1.3.0-preview |
| Configurare protocolli di comunicazione sicuri (TLS 1.1 o TLS 1.2) nei computer Windows | Crea un'assegnazione di configurazione guest per configurare la versione del protocollo sicura specificata (TLS 1.1 o TLS 1.2) nel computer Windows. | DeployIfNotExists, Disabled | 1.0.1 |
| Configura il fuso orario nelle macchine Windows. | Questo criterio crea un'assegnazione della configurazione guest per impostare il fuso orario specificato nelle macchine virtuali Windows. | deployIfNotExists | 2.1.0 |
| Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux | Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows | Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Le macchine virtuali Linux devono aver installato l'agente di Log Analytics in Azure Arc | I computer non sono conformi se l'agente di Log Analytics non è installato nel server Linux abilitato per Azure Arc. | AuditIfNotExists, Disabled | 1.1.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.2.0 |
| I computer Linux devono avere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.2.0 |
| Le macchine virtuali Linux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.1 |
| I metodi di autenticazione locali devono essere disabilitati nei computer Linux | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Linux non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Linux siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.2.0-preview |
| I metodi di autenticazione locali devono essere disabilitati nei server Windows | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i server Windows non dispongono di metodi di autenticazione locali disabilitati. Ciò consente di verificare che i server Windows siano accessibili solo dall'account AAD (Azure Active Directory) o da un elenco di utenti esplicitamente consentiti da questo criterio, migliorando il comportamento di sicurezza complessivo. | AuditIfNotExists, Disabled | 1.0.0-preview |
| Gli endpoint privati per le assegnazioni di configurazione guest devono essere abilitati | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alla configurazione guest per le macchine virtuali. Le macchine virtuali non saranno conformi a meno che non dispongano del tag "EnablePrivateNetworkGC". Questo tag applica la comunicazione sicura tramite connettività privata alla configurazione guest per Macchine virtuali. La connettività privata limita l'accesso al traffico proveniente solo da reti note e impedisce l'accesso da tutti gli altri indirizzi IP, incluso in Azure. | Audit, Deny, Disabled | 1.1.0 |
| Windows Defender Exploit Guard deve essere abilitato nelle macchine virtuali | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono essere configurate per usare protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | AuditIfNotExists, Disabled | 4.1.1 |
| I computer Windows devono configurare Windows Defender per aggiornare le firme di protezione entro un giorno | Per garantire una protezione adeguata contro il malware appena rilasciato, le firme di protezione di Windows Defender devono essere aggiornate regolarmente per tenere conto del malware appena rilasciato. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| I computer Windows devono abilitare la protezione in tempo reale di Windows Defender | I computer Windows devono abilitare la protezione in tempo reale in Windows Defender per garantire una protezione adeguata contro il malware appena rilasciato. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali Windows devono aver installato l'agente di Log Analytics in Azure Arc | I computer non sono conformi se l'agente di Log Analytics non è installato nel server Windows abilitato per Azure Arc. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Pannello di controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Pannello di controllo' per personalizzare l'input e impedire l'abilitazione delle schermate di blocco. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - MSS (legacy)' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - MSS (legacy)' per accesso automatico, screen saver, comportamento della rete, file DLL sicuro e log eventi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Rete' per accessi guest, connessioni simultanee, bridge di rete, ICS e risoluzione dei nomi multicast. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Modelli amministrativi - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Modelli amministrativi - Sistema' per impostazioni che controllano l'esperienza di amministrazione e Assistenza remota. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Account' per limitare l'uso di password vuote e lo stato dell'account guest per account locali. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo' per forzare la sottocategoria dei criteri di controllo e arrestare il sistema se non riesce a registrare i controlli di sicurezza. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Dispositivi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Dispositivi' per il disinserimento senza accesso, l'installazione di driver della stampante e la formattazione/espulsione di supporti. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso interattivo' | I computer Windows devono avere le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso interattivo' per visualizzare il cognome utente e richiedere ctrl-alt-canc. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Client di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Client di rete Microsoft' per client/server di rete Microsoft e SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Server di rete Microsoft' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Server di rete Microsoft' per disabilitare il server SMB v1. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Accesso di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Accesso alla rete' per includere l'accesso per utenti anonimi, account locali e accesso remoto al Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Sicurezza di rete' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Sicurezza di rete' per includere il comportamento di Sistema locale, PKU2U, LAN Manager, client LDAP e SSP NTLM. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Console di ripristino di emergenza' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Console di ripristino di emergenza' per consentire la copia su disco floppy e l'accesso a tutte le unità e a tutte le cartelle. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Arresto del sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Arresto del sistema' per consentire l'arresto del sistema senza accesso e la cancellazione del file di paging della memoria virtuale. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Oggetti di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Oggetti di sistema' per la mancata distinzione maiuscole/minuscole per sottosistemi non Windows e autorizzazioni di oggetti di sistema interni. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Impostazioni di sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Impostazioni di sistema' per le regole dei certificati sugli eseguibili per i criteri di restrizione software e i sottosistemi facoltativi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Opzioni di sicurezza - Controllo dell'account utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Opzioni di sicurezza - Controllo dell'account utente' per la modalità per amministratori, il comportamento della richiesta di elevazione dei privilegi e la virtualizzazione di file ed errori di scrittura del Registro di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Impostazioni di sicurezza - Criteri account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Impostazioni di sicurezza - Criteri account' per cronologia, scadenza, lunghezza e complessità delle password e per archiviare le password con la crittografia reversibile. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso account' per controllare la convalida delle credenziali e altri eventi di accesso account. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Gestione account' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Gestione Account' per il controllo della gestione di applicazioni, sicurezza e gruppi di utenti e per altri eventi di gestione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Analisi dettagliata' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Analisi dettagliata' per il controllo di DPAPI, creazione/terminazione di processi, eventi RPC e attività PNP. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso/Disconnessione' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso/Disconnessione' per il controllo di IPSec, criteri di rete, attestazioni, blocco degli account, appartenenza a gruppi ed eventi di accesso/disconnessione. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Accesso agli oggetti' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Accesso agli oggetti' per il controllo di file, Registro di sistema, SAM, archiviazione, filtro, kernel e altri tipi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Modifica dei criteri' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Modifica dei criteri' per il controllo delle modifiche apportate ai criteri di controllo del sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Uso dei privilegi' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Uso dei privilegi' per il controllo senza distinzione maiuscole/minuscole e l'uso di altri privilegi. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Criteri di controllo sistema - Sistema' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Criteri di controllo sistema - Sistema' per controllare driver IPsec, integrità di sistema, estensione di sistema, modifica dello stato e altri eventi di sistema. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Assegnazione diritti utente' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Assegnazione diritti utente' per consentire l'accesso in locale, RDP, l'accesso dalla rete e molte altre attività utente. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Componenti di Windows' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Componenti di Windows' per autenticazione di base, traffico non crittografato, account Microsoft, telemetria, Cortana e altri comportamenti di Windows. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti per 'Proprietà Windows Firewall' | Nei computer Windows devono essere presenti le impostazioni di Criteri di gruppo specificate nella categoria 'Proprietà Windows Firewall' per lo stato, le connessioni, la gestione regole e le notifiche del firewall. Questo criterio richiede che i prerequisiti di configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
| I computer Windows devono soddisfare i requisiti della baseline di sicurezza di Calcolo di Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono avere solo account locali consentiti | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. Questa definizione non è supportata in Windows Server 2012 o 2012 R2. La gestione degli account utente con Azure Active Directory è una procedura consigliata per la gestione delle identità. La riduzione degli account del computer locale consente di evitare la proliferazione delle identità gestite all'esterno di un sistema centrale. I computer non sono conformi se esistono account utente locali abilitati e non elencati nel parametro dei criteri. | AuditIfNotExists, Disabled | 2.0.0 |
| I computer Windows devono pianificare Windows Defender per eseguire un'analisi pianificata ogni giorno | Per garantire il rilevamento della richiesta di malware e ridurre al minimo l'impatto sul sistema, è consigliabile che i computer Windows con Windows Defender pianificano un'analisi giornaliera. Assicurarsi che Windows Defender sia supportato, preinstallato nel dispositivo e che vengano distribuiti i prerequisiti di Configurazione guest. Il mancato rispetto di questi requisiti può comportare risultati di valutazione non accurati. Altre informazioni sulla configurazione guest sono disponibili in https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.2.0 |
| I computer Windows devono usare il server NTP predefinito | Configurare "time.windows.com" come server NTP predefinito per tutti i computer Windows per garantire che i log in tutti i sistemi abbiano orologi di sistema tutti sincronizzati. Questo criterio richiede che i prerequisiti di Configurazione guest siano stati distribuiti nell'ambito dell'assegnazione dei criteri. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali Windows devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e Archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.1.1 |
HDInsight
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I cluster Azure HDInsight devono essere inseriti in una rete virtuale | L'inserimento di cluster Azure HDInsight in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza di HDInsight e offre il controllo sulla configurazione della sicurezza di rete. | Audit, Disabled, Deny | 1.0.0 |
| I cluster Azure HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei cluster Azure HDInsight inattivi. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. | Audit, Deny, Disabled | 1.0.1 |
| I cluster Azure HDInsight devono usare la crittografia nell'host per crittografare i dati inattivi | L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight | I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. | Audit, Deny, Disabled | 1.0.0 |
| Azure HDInsight deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati ai cluster Azure HDInsight, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/hdi.pl. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Azure HDInsight per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere i cluster Azure HDInsight. Per altre informazioni, vedere https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cluster Azure HDInsight con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati ai cluster Azure HDInsight, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
Health Bot
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Azure Health Bots deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare chiavi gestite dal cliente (CMK) per gestire la crittografia dei dati inattivi dei healthbot. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma cmk sono in genere necessari per soddisfare gli standard di conformità alle normative. La chiave gestita dal cliente consente di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per altre informazioni: https://docs.microsoft.com/azure/health-bot/cmk | Audit, Disabled | 1.0.0 |
Area di lavoro di Health Data Services
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'area di lavoro di Servizi dati di Integrità di Azure deve usare un collegamento privato | L'area di lavoro di Health Data Services deve avere almeno una connessione endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/healthcareapisprivatelink. | Audit, Disabled | 1.0.0 |
API per il settore sanitario
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| CORS non deve consentire a ogni dominio di accedere al servizio FHIR | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere al servizio FHIR. Per proteggere il servizio FHIR, rimuovere l'accesso per tutti i domini e definire in modo esplicito i domini autorizzati a connettersi. | audit, Audit, disabled, Disabled | 1.1.0 |
| Il servizio DICOM deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati nel servizio DICOM di Servizi dati di integrità di Azure quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | Audit, Disabled | 1.0.0 |
| Il servizio FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi | Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati nel servizio FHIR di Servizi dati di integrità di Azure quando si tratta di un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. | Audit, Disabled | 1.0.0 |
Internet delle cose
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: hub IoT di Azure deve usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in hub IoT con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Le chiavi gestite dal cliente devono essere configurate durante la creazione di hub IoT. Per altre informazioni su come configurare le chiavi gestite dal cliente, vedere https://aka.ms/iotcmk. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: hub IoT i dati del servizio device provisioning devono essere crittografati usando chiavi gestite dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio di provisioning dei dispositivi hub IoT. I dati vengono crittografati automaticamente inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. | Audit, Deny, Disabled | 1.0.0-preview |
| Gli account di Aggiornamento dispositivi di Azure devono usare la chiave gestita dal cliente per crittografare i dati inattivi | La crittografia dei dati inattivi in Azure Device Update con la chiave gestita dal cliente aggiunge un secondo livello di crittografia oltre alle chiavi gestite dal servizio predefinite, consente al cliente di controllare le chiavi, i criteri di rotazione personalizzati e la possibilità di gestire l'accesso ai dati tramite il controllo di accesso delle chiavi. Per altre informazioni, vedere:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption. | Audit, Deny, Disabled | 1.0.0 |
| Aggiornamento dei dispositivi di Azure per gli account hub IoT deve usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati ad Aggiornamento dispositivi di Azure per gli account hub IoT, i rischi di perdita dei dati vengono ridotti. | AuditIfNotExists, Disabled | 1.0.0 |
| hub IoT di Azure devono essere disabilitati i metodi di autenticazione locale per le API del servizio | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che hub IoT di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione dell'API del servizio. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Audit, Deny, Disabled | 1.0.0 |
| Configurare l'aggiornamento dei dispositivi di Azure per gli account hub IoT per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'aggiornamento del dispositivo per hub IoT sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica in Aggiornamento dispositivi per le risorse di hub IoT. | Modificare, Disabilitata | 1.0.0 |
| Configurare l'aggiornamento dei dispositivi di Azure per gli account hub IoT per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per Aggiornamento dispositiviper hub IoT endpoint privati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare l'aggiornamento dei dispositivi di Azure per gli account hub IoT con endpoint privato | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente tramite cui una risorsa di Azure è raggiungibile. Questo criterio distribuisce un endpoint privato per l'hub IoT di Aggiornamento dispositivi per consentire ai servizi all'interno della rete virtuale di raggiungere questa risorsa senza richiedere l'invio del traffico all'aggiornamento del dispositivo per l'endpoint pubblico di hub IoT. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare hub IoT di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i hub IoT di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/iothubdisablelocalauth. | Modificare, Disabilitata | 1.0.0 |
| Configurare hub IoT istanze di device provisioning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un'istanza del servizio device provisioning hub IoT. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare hub IoT istanze del servizio device provisioning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'istanza di provisioning di dispositivi hub IoT in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Modificare, Disabilitata | 1.0.0 |
| Configurare hub IoT istanze del servizio device provisioning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a hub IoT servizio device provisioning, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare hub IoT di Azure per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per hub IoT endpoint privati. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Distribuisci - Configurare hub IoT di Azure con endpoint privati | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente tramite cui una risorsa di Azure è raggiungibile. Questo criterio distribuisce un endpoint privato per l'hub IoT per consentire ai servizi all'interno della rete virtuale di raggiungere hub IoT senza richiedere l'invio del traffico all'endpoint pubblico di hub IoT. | DeployIfNotExists, Disabled | 1.0.0 |
| Deploy - Configurare IoT Central per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per gli endpoint privati di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire - Configurare IoT Central con endpoint privati | Un endpoint privato è un indirizzo IP privato allocato all'interno di una rete virtuale di proprietà del cliente tramite cui una risorsa di Azure è raggiungibile. Questo criterio distribuisce un endpoint privato per IoT Central per consentire ai servizi all'interno della rete virtuale di raggiungere IoT Central senza richiedere l'invio del traffico all'endpoint pubblico di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| IoT Central deve usare il collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati all'applicazione IoT Central anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotcentral-network-security-using-pe. | Audit, Deny, Disabled | 1.0.0 |
| hub IoT istanze del servizio device provisioning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che hub IoT'istanza del servizio device provisioning non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle istanze di hub IoT device provisioning. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | Audit, Deny, Disabled | 1.0.0 |
| hub IoT istanze del servizio device provisioning devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. | Audit, Disabled | 1.0.0 |
| Modifica - Configurare hub IoT di Azure per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'hub IoT di Azure sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica nelle risorse hub IoT. | Modificare, Disabilitata | 1.0.0 |
| Modifica - Configurare IoT Central per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'accesso a IoT Central sia accessibile solo da un endpoint privato. Questo criterio disabilita l'accesso alla rete pubblica nelle risorse hub IoT. | Modificare, Disabilitata | 1.0.0 |
| L'endpoint privato deve essere abilitato per hub IoT | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle hub IoT. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | Audit, Disabled | 1.0.0 |
| L'accesso alla rete pubblica per l'aggiornamento dei dispositivi di Azure per gli account hub IoT deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'aggiornamento dei dispositivi di Azure per gli account hub IoT sia accessibile solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| L'accesso alla rete pubblica in hub IoT di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'hub IoT di Azure sia accessibile solo da un endpoint privato. | Audit, Deny, Disabled | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per IoT Central | Per migliorare la sicurezza di IoT Central, assicurarsi che non sia esposto alla rete Internet pubblica e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/iotcentral-restrict-public-access. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse in hub IoT devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 3.1.0 |
Key Vault
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: le chiavi del modulo di protezione hardware gestito di Azure Key Vault devono avere una data di scadenza | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Le chiavi del modulo di protezione hardware gestito di Azure Key Vault devono avere più del numero di giorni specificato prima della scadenza | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Le chiavi del modulo di protezione hardware gestito di Azure Key Vault che usano la crittografia a curva ellittica devono avere i nomi di curva specificati | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Le chiavi del modulo di protezione hardware gestito di Azure Key Vault che usano la crittografia RSA devono avere una dimensione minima della chiave specificata | Per usare questo criterio in anteprima, è prima necessario seguire queste istruzioni all'indirizzo https://aka.ms/mhsmgovernance. Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: Modulo di protezione hardware gestito di Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Modulo di protezione hardware gestito di Azure Key Vault deve usare un collegamento privato | Il collegamento privato consente di connettere il modulo di protezione hardware gestito di Azure Key Vault alle risorse di Azure senza inviare traffico tramite Internet pubblico. Il collegamento privato garantisce una protezione con difesa approfondita dall'esfiltrazione di dati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: I certificati devono essere rilasciati da una delle autorità di certificazione non integrate specificate | Gestire i requisiti di conformità dell'organizzazione specificando autorità di certificazione personalizzate o interne in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare il modulo di protezione hardware gestito di Azure Key Vault per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il modulo di protezione hardware gestito di Azure Key Vault in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Modificare, Disabilitata | 2.0.0-preview |
| [Anteprima]: Configurare il modulo di protezione hardware gestito di Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al modulo di protezione hardware gestito di Azure Key Vault, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Per il modulo di protezione hardware gestito di Azure Key Vault deve essere abilitata la protezione dalla rimozione definitiva | L'eliminazione dannosa di un modulo di protezione hardware gestito di Azure Key Vault può causare una perdita permanente di dati. Un insider malintenzionato nell'organizzazione può potenzialmente eliminare ed eliminare il modulo di protezione hardware gestito di Azure Key Vault. La protezione dall'eliminazione protegge l'utente dagli attacchi Insider applicando un periodo di conservazione obbligatorio per il modulo di protezione hardware gestito di Azure Key Vault eliminato temporaneamente. Nessuno all'interno dell'organizzazione o Microsoft sarà in grado di eliminare il modulo di protezione hardware gestito di Azure Key Vault durante il periodo di conservazione dell'eliminazione temporanea. | Audit, Deny, Disabled | 1.0.0 |
| Azure Key Vault deve disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | Audit, Deny, Disabled | 1.1.0 |
| Azure Key Vault deve avere il firewall abilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Azure Key Vault deve usare il modello di autorizzazione di controllo degli accessi in base al ruolo | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Audit, Deny, Disabled | 1.0.1 |
| Le istanze di Azure Key Vault devono usare collegamenti privati | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| I certificati devono essere rilasciati dall'autorità di certificazione integrata specificata | Consente di gestire i requisiti di conformità aziendali specificando le autorità di certificazione integrate in Azure che possono rilasciare certificati nell'insieme di credenziali delle chiavi, ad esempio Digicert o GlobalSign. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono essere rilasciati dall'autorità di certificazione non integrata specificata | Gestire i requisiti di conformità dell'organizzazione specificando un'autorità di certificazione personalizzata o interna in grado di rilasciare certificati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono contenere i trigger delle azioni specificate per la durata | Consente di gestire i requisiti di conformità aziendali specificando se un'azione relativa alla durata del certificato viene attivata in corrispondenza di una percentuale specifica della durata o di un determinato numero di giorni prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| I certificati non devono scadere entro il numero di giorni specificato | Consente di gestire i certificati che scadranno entro un numero di giorni specificato per garantire che l'organizzazione disponga di tempo sufficiente per ruotare il certificato prima della scadenza. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.1 |
| I certificati devono usare i tipi di chiave consentiti | Consente di gestire i requisiti di conformità aziendali limitando i tipi di chiave consentiti per i certificati. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Per i certificati che usano la crittografia a curva ellittica sono necessari nomi di curva consentiti | Consente di gestire i nomi di curva ellittica consentiti per i certificati ECC archiviati nell'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvpolicy. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| I certificati che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Consente di gestire i requisiti di conformità aziendali specificando le dimensioni minime della chiave per i certificati RSA archiviati nell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.1.0 |
| Configurare Azure Key Vault per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Key Vault con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli insiemi di credenziali delle chiavi per abilitare il firewall | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. È quindi possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security | Modificare, Disabilitata | 1.1.1 |
| Distribuire - Configurare le impostazioni di diagnostica per Azure Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Azure Key Vault per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando non è presente questa impostazione di diagnostica viene creata o aggiornata. | DeployIfNotExists, Disabled | 2.0.1 |
| Distribuisci: configurare le impostazioni di diagnostica in un hub eventi da abilitare nel modulo di protezione hardware gestito di Azure Key Vault | Distribuisce le impostazioni di diagnostica per il modulo di protezione hardware gestito di Azure Key Vault per lo streaming in un hub eventi a livello di area quando un modulo di protezione hardware gestito di Azure Key Vault mancante viene creato o aggiornato. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'hub eventi | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.1 |
| Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Audit, Deny, Disabled | 1.0.2 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Audit, Deny, Disabled | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Audit, Deny, Disabled | 3.0.0 |
| Le chiavi devono essere supportate da un modulo di protezione hardware | Un modulo di protezione hardware è un modulo di sicurezza hardware che archivia le chiavi. Un modulo di protezione hardware fornisce un livello fisico di protezione per le chiavi crittografiche. La chiave crittografica non può lasciare un modulo di protezione hardware fisico che fornisce un livello di sicurezza maggiore rispetto a una chiave software. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono essere del tipo di crittografia specificato, RSA o a curva ellittica (ECC) | Per alcune applicazioni è necessario usare chiavi supportate da un tipo di crittografia specifico. Applicare uno specifico tipo di chiave di crittografia, RSA o ECC, nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi devono disporre di un criterio di rotazione per assicurarsi che la rotazione sia pianificata entro il numero specificato di giorni dopo la creazione. | Gestire i requisiti di conformità dell'organizzazione specificando il numero massimo di giorni dopo la creazione della chiave fino a quando non deve essere ruotato. | Audit, Disabled | 1.0.0 |
| Per le chiavi deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se una chiave è troppo vicina alla scadenza, un ritardo dell'organizzazione nel ruotarla può generare un'interruzione. Le chiavi devono essere ruotate un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per le chiavi è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di una chiave, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi non devono essere attive per un periodo più lungo del numero di giorni specificato | Specificare il numero di giorni durante i quali una chiave deve essere attiva. Le chiavi usate per un periodo prolungato di tempo aumentano la probabilità che un utente malintenzionato possa comprometterle. Come procedura di sicurezza efficace, verificare che le chiavi non siano attive per più di due anni. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia a curva ellittica (ECC) devono avere i nomi di curva specificati | Le chiavi supportate dalla crittografia a curva ellittica possono avere nomi di curva diversi. Alcune applicazioni sono compatibili solo con chiavi a curva ellittica specifiche. Applicare i tipi di chiavi a curva ellittica che è consentito creare nell'ambiente. | Audit, Deny, Disabled | 1.0.1 |
| Le chiavi che usano la crittografia RSA devono avere le dimensioni minime della chiave specificate | Impostare le dimensioni minime consentite per la chiave da usare con gli insiemi di credenziali delle chiavi. L'uso di chiavi RSA di piccole dimensioni non è una procedura sicura e non soddisfa numerosi requisiti di certificazione del settore. | Audit, Deny, Disabled | 1.0.1 |
| I log delle risorse devono essere abilitati nei moduli di protezione hardware gestiti di Azure Key Vault | Per ricreare i percorsi di attività a scopo di indagine quando si verifica un evento imprevisto di sicurezza o quando la rete è compromessa, è consigliabile controllare abilitando i log delle risorse nei moduli di protezione hardware gestiti. Seguire le istruzioni riportate qui: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, Disabled | 1.1.0 |
| I log delle risorse devono essere abilitati in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Per i segreti deve essere impostato il tipo di contenuto | Un tag di tipo di contenuto consente di identificare se un segreto è una password, stringa di connessione e così via. I segreti diversi hanno requisiti di rotazione diversi. Il tag del tipo di contenuto deve essere impostato nei segreti. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti deve essere disponibile un periodo più lungo del numero di giorni specificato prima della scadenza | Se un segreto è troppo vicino alla scadenza, un ritardo dell'organizzazione nel ruotarlo può generare un'interruzione. I segreti devono essere ruotati un numero specificato di giorni prima della scadenza per fornire tempo sufficiente per rispondere a un errore. | Audit, Deny, Disabled | 1.0.1 |
| Per i segreti è necessario specificare il periodo di validità massimo | È possibile gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un segreto, in giorni, all'interno dell'insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.1 |
| I segreti non devono essere attivi per un periodo più lungo del numero di giorni specificato | Se i segreti sono stati creati con una data di attivazione impostata nel futuro, è necessario assicurarsi che i segreti non siano stati attivi per un periodo maggiore rispetto alla durata specificata. | Audit, Deny, Disabled | 1.0.1 |
Kubernetes
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: [Integrità immagine] I cluster Kubernetes devono usare solo immagini firmate dalla notazione | Usare le immagini firmate dalla notazione per assicurarsi che le immagini provengano da origini attendibili e non vengano modificate in modo dannoso. Per altre info, visita https://aka.ms/aks/image-integrity | Audit, Disabled | 1.0.0-preview |
| [Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Anteprima]: Non è possibile modificare singoli nodi | Impossibile modificare singoli nodi. Gli utenti non devono modificare singoli nodi. Modificare i pool di nodi. La modifica di singoli nodi può causare impostazioni incoerenti, sfide operative e potenziali rischi per la sicurezza. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Configurare i cluster Kubernetes con abilitazione di Azure Arc per installare l'estensione Microsoft Defender per il cloud | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Anteprima]: Distribuire l'integrità delle immagini in servizio Azure Kubernetes | Distribuire cluster Azure Kubernetes sia integrità delle immagini che componenti aggiuntivi per i criteri. Per altre info, visita https://aka.ms/aks/image-integrity | DeployIfNotExists, Disabled | 1.0.5-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes devono includere l'hook preStop | Richiede che le immagini del contenitore includano un hook preStop per terminare normalmente i processi durante gli arresti dei pod. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: le immagini del contenitore del cluster Kubernetes non devono includere il tag di immagine più recente | Richiede che le immagini del contenitore non usino il tag più recente in Kubernetes, è consigliabile garantire la riproducibilità, impedire gli aggiornamenti imprevisti e semplificare il debug e il rollback usando immagini del contenitore esplicite e con controllo delle versioni. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i contenitori del cluster Kubernetes devono eseguire il pull solo di immagini quando sono presenti segreti pull delle immagini | Limitare il pull dell'immagine dei contenitori per applicare la presenza di ImagePullSecrets, garantendo l'accesso sicuro e autorizzato alle immagini all'interno di un cluster Kubernetes | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I servizi cluster Kubernetes devono usare selettori univoci | Verificare che i servizi in uno spazio dei nomi abbiano selettori univoci. Un selettore di servizio univoco garantisce che ogni servizio all'interno di uno spazio dei nomi sia identificabile in modo univoco in base a criteri specifici. Questo criterio sincronizza le risorse in ingresso in OPA tramite Gatekeeper. Prima dell'applicazione, verificare che la capacità di memoria dei pod gatekeeper non venga superata. I parametri si applicano a spazi dei nomi specifici, ma sincronizza tutte le risorse di tale tipo in tutti gli spazi dei nomi. Attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: il cluster Kubernetes deve implementare budget accurati di interruzione dei pod | Impedisce budget di interruzione dei pod difettosi, garantendo un numero minimo di pod operativi. Per informazioni dettagliate, vedere la documentazione ufficiale di Kubernetes. Si basa sulla replica dei dati gatekeeper e sincronizza tutte le risorse di ingresso con ambito in OPA. Prima di applicare questo criterio, assicurarsi che le risorse in ingresso sincronizzate non pressioniranno la capacità di memoria. Anche se i parametri valutano spazi dei nomi specifici, tutte le risorse di quel tipo tra gli spazi dei nomi verranno sincronizzate. Nota: attualmente in anteprima per il servizio Kubernetes. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: i cluster Kubernetes devono limitare la creazione di un tipo di risorsa specificato | Dato il tipo di risorsa Kubernetes non deve essere distribuito in determinati spazi dei nomi. | Audit, Deny, Disabled | 2.2.0-preview |
| [Anteprima]: deve avere un set di regole anti-affinità | Questo criterio garantisce che i pod siano pianificati in nodi diversi all'interno del cluster. Applicando le regole di anti-affinità, la disponibilità viene mantenuta anche se uno dei nodi non è più disponibile. I pod continueranno a essere eseguiti in altri nodi, migliorando la resilienza. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Nessuna etichetta specifica del servizio Azure Kubernetes | Impedisce ai clienti di applicare etichette specifiche del servizio Azure Kubernetes. Il servizio Azure Kubernetes usa etichette precedute kubernetes.azure.com da per indicare i componenti di proprietà del servizio Azure Kubernetes. Il cliente non deve usare queste etichette. |
Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: Taints del pool di sistema riservato | Limita il taint CriticalAddonsOnly solo al pool di sistema. Il servizio Azure Kubernetes usa il taint CriticalAddonsOnly per evitare i pod dei clienti dal pool di sistema. Garantisce una netta separazione tra i componenti del servizio Azure Kubernetes e i pod dei clienti, oltre a impedire che i pod dei clienti vengano rimossi se non tollerano il taint CriticalAddonsOnly. | Audit, Deny, Disabled | 1.1.1-preview |
| [Anteprima]: limita il taint CriticalAddonsOnly solo al pool di sistema. | Per evitare la rimozione delle app utente dai pool di utenti e mantenere la separazione delle preoccupazioni tra l'utente e i pool di sistema, il taint 'CriticalAddonsOnly' non deve essere applicato ai pool di utenti. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta i limiti di CPU dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non siano presenti o superino i limiti. | Impostazione dei limiti della CPU del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta i limiti di memoria dei contenitori del cluster Kubernetes sui valori predefiniti nel caso in cui non siano presenti o superino i limiti. | Impostazione dei limiti di memoria del contenitore per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta i pod maxUnavailable su 1 per le risorse PodDisruptionBudget | L'impostazione del valore massimo del pod non disponibile su 1 garantisce che l'applicazione o il servizio sia disponibile durante un'interruzione | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica Pod nei contenitori init su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice. Questo funziona solo per i contenitori Linux. | Mutate, Disabled | 1.1.0-preview |
| [Anteprima]: imposta readOnlyRootFileSystem nella specifica pod su true se non è impostato. | L'impostazione di readOnlyRootFileSystem su true aumenta la sicurezza impedendo ai contenitori di scrivere nel file system radice | Mutate, Disabled | 1.1.0-preview |
| Per i cluster Kubernetes con abilitazione di Azure Arc deve essere installata l'estensione Criteri di Azure | L'estensione Criteri di Azure per Azure Arc offre imposizione e misure di sicurezza su larga scala nei cluster Kubernetes con abilitazione di Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | AuditIfNotExists, Disabled | 1.1.0 |
| Nei cluster Kubernetes abilitati per Azure Arc deve essere installata l'estensione Open Service Mesh | L'estensione Open Service Mesh offre tutte le funzionalità di mesh di servizi standard per la sicurezza, la gestione del traffico e l'osservabilità dei servizi dell'applicazione. Per altre informazioni, vedere: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I cluster Kubernetes abilitati per Azure Arc devono avere l'estensione Strimzi Kafka installata | L'estensione Kafka Strimzi fornisce agli operatori di installare Kafka per la creazione di pipeline di dati in tempo reale e applicazioni di streaming con funzionalità di sicurezza e osservabilità. Altre informazioni sono disponibili qui: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare l'interfaccia del contenitore Archiviazione (CSI) | Container Archiviazione Interface (CSI) è uno standard per esporre sistemi di archiviazione di file e blocchi arbitrari a carichi di lavoro in contenitori in servizio Azure Kubernetes. Per altre informazioni, https://aka.ms/aks-csi-driver | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono abilitare Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) | Usare Servizio di gestione delle chiavi (Servizio di gestione delle chiavi) per crittografare i dati segreti inattivi in etcd per la sicurezza del cluster Kubernetes. Per altre informazioni, vedere https://aka.ms/aks/kmsetcdencryption. | Audit, Disabled | 1.0.0 |
| I cluster Azure Kubernetes devono usare Azure CNI | Azure CNI è un prerequisito per alcune funzionalità di servizio Azure Kubernetes, tra cui criteri di rete di Azure, pool di nodi Windows e componente aggiuntivo nodi virtuali. Per altre informazioni, vedere: https://aka.ms/aks-azure-cni | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes Clusters should disable Command Invoke | La disabilitazione di command invoke può migliorare la sicurezza evitando il bypass dell'accesso alla rete con restrizioni o del controllo degli accessi in base al ruolo di Kubernetes | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes Cluster devono abilitare l'aggiornamento automatico del cluster | L'aggiornamento automatico del cluster del servizio Azure Kubernetes può garantire che i cluster siano aggiornati e non perdere le funzionalità o le patch più recenti del servizio Azure Kubernetes e upstream. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Cluster devono abilitare Image Cleaner | Image Cleaner esegue l'identificazione e la rimozione automatica delle immagini vulnerabili, inutilizzate, riducendo il rischio di immagini non aggiornate e riducendo il tempo necessario per pulirle. Per altre informazioni, vedere https://aka.ms/aks/image-cleaner. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Clusters should enable Microsoft Entra ID integration | L'integrazione di Microsoft Entra ID gestita dal servizio Azure Kubernetes può gestire l'accesso ai cluster configurando il controllo degli accessi in base al ruolo (Controllo degli accessi in base al ruolo) di Kubernetes in base all'identità o all'appartenenza a un gruppo di directory dell'utente. Per altre informazioni, vedere https://aka.ms/aks-managed-aad. | Audit, Disabled | 1.0.2 |
| servizio Azure Kubernetes Cluster deve abilitare l'aggiornamento automatico del sistema operativo del nodo | L'aggiornamento automatico del sistema operativo del nodo del servizio Azure Kubernetes controlla gli aggiornamenti della sicurezza del sistema operativo a livello di nodo. Per altre informazioni, vedere https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Audit, Disabled | 1.0.0 |
| servizio Azure Kubernetes Cluster devono abilitare l'identità del carico di lavoro | L'identità del carico di lavoro consente di assegnare un'identità univoca a ogni pod Kubernetes e associarla a risorse protette di Azure AD, ad esempio Azure Key Vault, consentendo l'accesso sicuro a queste risorse dall'interno del pod. Per altre informazioni, vedere https://aka.ms/aks/wi. | Audit, Disabled | 1.0.0 |
| I cluster del servizio Azure Kubernetes devono avere il profilo Defender abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito al cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, Disabled | 2.0.1 |
| servizio Azure Kubernetes i cluster devono avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che i cluster servizio Azure Kubernetes richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/aks-disable-local-accounts. | Audit, Deny, Disabled | 1.0.1 |
| servizio Azure Kubernetes Cluster devono usare le identità gestite | Usare le identità gestite per eseguire il wrapping delle entità servizio, semplificare la gestione dei cluster ed evitare la complessità necessaria per le entità servizio gestite. Per altre informazioni, vedere: https://aka.ms/aks-update-managed-identities | Audit, Disabled | 1.0.1 |
| servizio Azure Kubernetes è necessario abilitare i cluster privati | Abilitare la funzionalità cluster privato per il cluster servizio Azure Kubernetes per garantire che il traffico di rete tra il server API e i pool di nodi rimanga solo nella rete privata. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster | Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. | Audit, Disabled | 1.0.2 |
| Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente | La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes abilitati per Azure Arc per installare l'estensione Criteri di Azure | Distribuire l'estensione di Criteri di Azure per Azure Arc per fornire imposizione su larga scala e proteggere i cluster Kubernetes con abilitazione di Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare cluster servizio Azure Kubernetes per abilitare il profilo di Defender | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.Defender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni su Microsoft Defender per contenitori: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, Disabled | 4.1.0 |
| Configurare l'installazione dell'estensione Flux nel cluster Kubernetes | Installare l'estensione Flux nel cluster Kubernetes per abilitare la distribuzione di 'fluxconfigurations' nel cluster | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando l'origine bucket e i segreti in KeyVault | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede un bucket SecretKey archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e il certificato della CA HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un certificato della CA HTTPS. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti HTTPS | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto della chiave HTTPS archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git e i segreti SSH | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH archiviato in Key Vault. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione di Flux v2 usando il repository Git pubblico | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con l'origine bucket Flux v2 specificata usando i segreti locali | Distribuire un 'fluxConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro origine di verità per carichi di lavoro e configurazioni dal bucket definito. Questa definizione richiede segreti di autenticazione locale archiviati nel cluster Kubernetes. Per istruzioni, vedere https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando segreti HTTPS | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede segreti dell'utente e della chiave HTTPS archiviati in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata senza segreti | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione non richiede segreti. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare i cluster Kubernetes con la configurazione GitOps specificata usando segreti SSH | Distribuire un 'sourceControlConfiguration' nei cluster Kubernetes per garantire che i cluster ottengano la loro fonte di verità per carichi di lavoro e configurazioni dal repository Git definito. Questa definizione richiede un segreto di chiave privata SSH in Key Vault. Per istruzioni, vedere https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Configurare l'ID servizio Azure Kubernetes integrato di Microsoft Entra ID con l'accesso al gruppo necessario Amministrazione | Assicurarsi di migliorare la sicurezza del cluster regolando centralmente l'accesso Amministrazione istrator ai cluster del servizio Azure Kubernetes integrati di Microsoft Entra ID. | DeployIfNotExists, Disabled | 2.1.0 |
| Configurare l'aggiornamento automatico del sistema operativo del nodo nel cluster Azure Kubernetes | Usare l'aggiornamento automatico del sistema operativo del nodo per controllare gli aggiornamenti della sicurezza del sistema operativo a livello di nodo dei cluster servizio Azure Kubernetes (servizio Azure Kubernetes). Per altre info, visitare https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, Disabled | 1.0.1 |
| Distribuisci: configurare le impostazioni di diagnostica per servizio Azure Kubernetes nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per servizio Azure Kubernetes per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuire il componente aggiuntivo Criteri di Azure nei cluster del servizio Azure Kubernetes | Usare il componente aggiuntivo Criteri di Azure per gestire e segnalare lo stato di conformità dei cluster del servizio Azure Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/akspolicydoc. | DeployIfNotExists, Disabled | 4.1.0 |
| Distribuire Image Cleaner in servizio Azure Kubernetes | Distribuire Image Cleaner nei cluster Azure Kubernetes. Per altre info, visita https://aka.ms/aks/image-cleaner | DeployIfNotExists, Disabled | 1.0.4 |
| Distribuire manutenzione pianificata per pianificare e controllare gli aggiornamenti per il cluster servizio Azure Kubernetes (servizio Azure Kubernetes) | Manutenzione pianificata consente di pianificare le finestre di manutenzione settimanali per eseguire gli aggiornamenti e ridurre al minimo l'impatto del carico di lavoro. Una volta pianificato, gli aggiornamenti vengono eseguiti solo durante la finestra selezionata. Per altre informazioni, vedere: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Disabilitare Command Invoke nei cluster servizio Azure Kubernetes | La disabilitazione di command invoke può migliorare la sicurezza rifiutando l'accesso invoke-command al cluster | DeployIfNotExists, Disabled | 1.2.0 |
| Verificare che i contenitori del cluster dispongano di probe di idoneità o attività configurati | Questo criterio impone che tutti i pod dispongano di probe di idoneità e/o liveness configurati. I tipi di probe possono essere uno qualsiasi di tcpSocket, httpGet ed exec. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per istruzioni sull'uso di questo criterio, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.2.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host | Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I contenitori del cluster Kubernetes non devono usare interfacce sysctl non consentite | I contenitori non devono usare interfacce sysctl non consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I contenitori del cluster Kubernetes devono usare solo il tipo di montaggio ProcMountType consentito | I contenitori pod possono usare solo procMountType consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.1 |
| I contenitori del cluster Kubernetes devono usare solo i criteri pull consentiti | Limitare i criteri pull dei contenitori per imporre ai contenitori di usare solo le immagini consentite nelle distribuzioni | Audit, Deny, Disabled | 3.1.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili seccomp consentiti | I contenitori pod possono usare solo profili seccomp consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I volumi FlexVolume dei pod del cluster Kubernetes devono usare solo i driver consentiti | I volumi FlexVolume pod devono usare solo i driver consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.1 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.1 |
| I pod e contenitori del cluster Kubernetes devono usare solo le opzioni SELinux consentite | I pod e i contenitori devono usare solo le opzioni edizione Standard Linux consentite in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.1 |
| I pod del cluster Kubernetes devono usare solo i tipi di volumi consentiti | I pod possono usare solo i tipi di volume consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.1 |
| I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati | Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.1.0 |
| I pod del cluster Kubernetes devono usare etichette specificate | Usare le etichette specificate per identificare i pod in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| I servizi del cluster Kubernetes devono usare solo gli indirizzi IP esterni consentiti | Usare indirizzi IP esterni consentiti per evitare il potenziale attacco (CVE-2020-8554) in un cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.1.0 |
| Il cluster Kubernetes non deve usare pod naked | Bloccare l'utilizzo di pod nudi. I pod naked non verranno riprogrammati in caso di errore del nodo. I pod devono essere gestiti da Distribuzione, Replicset, Daemonset o Processi | Audit, Deny, Disabled | 2.1.0 |
| I contenitori windows del cluster Kubernetes non devono sovracommettere cpu e memoria | Le richieste di risorse contenitore di Windows devono essere minori o uguali al limite di risorse o non specificate per evitare l'overcommit. Se viene eseguito il provisioning eccessivo della memoria di Windows, le pagine verranno elaborate su disco, che può rallentare le prestazioni, anziché terminare il contenitore con memoria insufficiente | Audit, Deny, Disabled | 2.1.0 |
| I contenitori windows del cluster Kubernetes non devono essere eseguiti come contenitore Amministrazione istrator | Impedire l'utilizzo di Container Amministrazione istrator come utente per eseguire i processi del contenitore per pod o contenitori Windows. Questa raccomandazione è progettata per migliorare la sicurezza dei nodi Di Windows. Per altre informazioni, vedere https://kubernetes.io/docs/concepts/windows/intro/. | Audit, Deny, Disabled | 1.1.0 |
| I contenitori windows del cluster Kubernetes devono essere eseguiti solo con utenti approvati e gruppo di utenti di dominio | Controllare l'utente che i pod e i contenitori di Windows possono usare per l'esecuzione in un cluster Kubernetes. Questa raccomandazione fa parte dei criteri di sicurezza dei pod nei nodi Windows che consentono di migliorare la sicurezza degli ambienti Kubernetes. | Audit, Deny, Disabled | 2.1.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes devono assicurarsi che il ruolo di amministratore del cluster venga usato solo se necessario | Il ruolo "cluster-admin" offre poteri di ampia portata nell'ambiente e deve essere usato solo dove e quando necessario. | Audit, Disabled | 1.0.0 |
| I cluster Kubernetes devono ridurre al minimo l'uso dei caratteri jolly nel ruolo e nel ruolo del cluster | L'uso dei caratteri jolly '*' può essere un rischio per la sicurezza perché concede autorizzazioni generali che potrebbero non essere necessarie per un ruolo specifico. Se un ruolo ha troppe autorizzazioni, potrebbe essere usato in modo improprio da un utente malintenzionato o compromesso per ottenere l'accesso non autorizzato alle risorse nel cluster. | Audit, Disabled | 1.0.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 7.1.0 |
| I cluster Kubernetes non devono consentire le autorizzazioni di modifica degli endpoint di ClusterRole/system:aggregate-to-edit | ClusterRole/system:aggregate-to-edit non deve consentire le autorizzazioni di modifica degli endpoint a causa di CVE-2021-25740, le autorizzazioni Endpoint & EndpointSlice consentono l'inoltro tra spazi dei nomi, https://github.com/kubernetes/kubernetes/issues/103675. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Disabled | 3.1.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare funzionalità di sicurezza specifiche | Blocca l'utilizzo di funzionalità di sicurezza specifiche nei cluster Kubernetes per impedire privilegi non concessi nella risorsa pod. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.1.0 |
| I cluster Kubernetes devono usare il driver Container Archiviazione Interface(CSI) Archiviazione Class | CSI (Container Storage Interface) è uno standard per l'esposizione di sistemi di archiviazione file e a blocchi arbitrari per carichi di lavoro in contenitori in Kubernetes. Il provisioner nell'albero Archiviazione Class deve essere deprecato a partire dalla versione 1.21 del servizio Azure Kubernetes. Per altre informazioni, https://aka.ms/aks-csi-driver | Audit, Deny, Disabled | 2.2.0 |
| I cluster Kubernetes devono usare servizi di bilanciamento del carico interni | Usare i servizi di bilanciamento del carico interni per rendere un servizio Kubernetes accessibile solo alle applicazioni in esecuzione nella stessa rete virtuale del cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.1.0 |
| Le risorse Kubernetes devono avere annotazioni necessarie | Assicurarsi che le annotazioni necessarie siano associate a un determinato tipo di risorsa Kubernetes per migliorare la gestione delle risorse delle risorse Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Audit, Deny, Disabled | 3.1.0 |
| I log delle risorse del servizio Azure Kubernetes devono essere abilitati | i log delle risorse di servizio Azure Kubernetes consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes | Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. | Audit, Deny, Disabled | 1.0.1 |
Lab Services
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Lab Services deve abilitare tutte le opzioni per l'arresto automatico | Questo criterio consente di gestire i costi applicando tutte le opzioni di arresto automatico abilitate per un lab. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services non deve consentire macchine virtuali modello per i lab | Questo criterio impedisce la creazione e la personalizzazione di macchine virtuali modello per lab gestiti tramite Lab Services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services deve richiedere l'utente non amministratore per i lab | Questo criterio richiede la creazione di account utente non amministratori per i lab gestiti tramite lab-services. | Audit, Deny, Disabled | 1.1.0 |
| Lab Services deve limitare le dimensioni consentite degli SKU delle macchine virtuali | Questo criterio consente di limitare determinati SKU di macchine virtuali di calcolo per i lab gestiti tramite Lab Services. Ciò limiterà determinate dimensioni della macchina virtuale. | Audit, Deny, Disabled | 1.1.0 |
Lighthouse
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Consenti agli ID tenant di gestione di eseguire l'onboarding tramite Azure Lighthouse | La limitazione delle deleghe di Azure Lighthouse a tenant di gestione specifici aumenta la sicurezza limitando i soggetti che possono gestire le risorse di Azure. | rifiutare | 1.0.1 |
| Controlla la delega degli ambiti in un tenant di gestione | Controlla la delega degli ambiti in un tenant di gestione tramite Azure Lighthouse. | Audit, Disabled | 1.0.0 |
App per la logica
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| L'ambiente del servizio di integrazione delle app per la logica deve essere crittografato con chiavi gestite dal cliente | Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
| Le app per la logica devono essere distribuite nell'ambiente del servizio di integrazione | La distribuzione di App per la logica nell'ambiente del servizio di integrazione in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza delle app per la logica e offre un maggiore controllo sulla configurazione di rete. Per altre informazioni, vedere https://aka.ms/integration-service-environment. La distribuzione nell'ambiente del servizio di integrazione consente anche la crittografia con chiavi gestite dal cliente che offre una protezione dei dati avanzata consentendo di gestire le chiavi di crittografia. Spesso si tratta di soddisfare i requisiti di conformità. | Audit, Deny, Disabled | 1.0.0 |
| I log delle risorse in App per la logica devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.1.0 |
Machine Learning
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le distribuzioni del Registro modelli di Azure Machine Learning sono limitate ad eccezione del Registro di sistema consentito | Distribuisci solo i modelli del Registro di sistema nel Registro di sistema consentito e che non sono limitati. | Deny, Disabled | 1.0.0-preview |
| L'istanza di calcolo di Azure Machine Learning deve avere un arresto inattiva. | La pianificazione di arresto inattivo riduce i costi arrestando i calcoli inattive dopo un periodo di attività predeterminato. | Audit, Deny, Disabled | 1.0.0 |
| È necessario ricreare le istanza di ambiente di calcolo di Azure Machine Learning per ottenere gli aggiornamenti software più recenti | Verificare che le istanze di calcolo di Azure Machine Learning vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Gli ambienti di calcolo di Azure Machine Learning devono essere in una rete virtuale | I Rete virtuale di Azure offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché le subnet, i criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Audit, Disabled | 1.0.1 |
| Gli ambienti di calcolo di Machine Learning devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i calcoli di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Audit, Deny, Disabled | 2.1.0 |
| Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Audit, Deny, Disabled | 1.0.3 |
| Le aree di lavoro di Azure Machine Learning devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro di Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Audit, Deny, Disabled | 2.0.1 |
| Le aree di lavoro di Azure Machine Learning devono abilitare V1LegacyMode per supportare la compatibilità con le versioni precedenti dell'isolamento di rete | Azure ML sta effettuando una transizione a una nuova piattaforma API V2 in Azure Resource Manager ed è possibile controllare la versione della piattaforma API usando il parametro V1LegacyMode. L'abilitazione del parametro V1LegacyMode consentirà di mantenere le aree di lavoro nello stesso isolamento di rete della versione 1, anche se non si avranno a disposizione le nuove funzionalità V2. È consigliabile attivare la modalità legacy V1 solo quando si desidera mantenere i dati del piano di controllo AzureML all'interno delle reti private. Per altre informazioni, vedere https://aka.ms/V1LegacyMode. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Machine Learning devono usare l'identità gestita assegnata dall'utente | Accesso manange all'area di lavoro di Azure ML e alle risorse associate, Registro Azure Container, KeyVault, Archiviazione e App Insights usando l'identità gestita assegnata dall'utente. Per impostazione predefinita, l'identità gestita assegnata dal sistema viene usata dall'area di lavoro di Azure ML per accedere alle risorse associate. L'identità gestita assegnata dall'utente consente di creare l'identità come risorsa di Azure e di mantenere il ciclo di vita di tale identità. Per ulteriori informazioni, vedi https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Audit, Deny, Disabled | 1.0.0 |
| Configurare i calcoli di Azure Machine Learning per disabilitare i metodi di autenticazione locale | Disabilitare i metodi di autenticazione della posizione in modo che i computer di Machine Learning richiedano identità di Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Modificare, Disabilitata | 2.1.0 |
| Configurare l'area di lavoro di Azure Machine Learning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Azure Machine Learning per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le aree di lavoro di Azure Machine Learning in modo che le aree di lavoro non siano accessibili tramite La rete Internet pubblica. Ciò consente di proteggere le aree di lavoro da rischi di perdita di dati. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Modificare, Disabilitata | 1.0.3 |
| Configurare le aree di lavoro di Azure Machine Learning con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati all'area di lavoro di Azure Machine Learning, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le aree di lavoro di Azure Machine Learning per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando un'area di lavoro di Azure Machine Learning mancante è stata creata o aggiornata. | DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse nell'area di lavoro di Azure Machine Learning devono essere abilitati | I log delle risorse consentono di ricreare i percorsi attività da usare per scopi di analisi quando si verifica un evento imprevisto di sicurezza o quando la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.1 |
Applicazione gestita
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La definizione di applicazione per l'applicazione gestita deve usare l'account di archiviazione fornito dal cliente | Usare il proprio account di archiviazione per controllare i dati della definizione di applicazione quando si tratta di un requisito normativo o di conformità. È possibile scegliere di archiviare la definizione di applicazione gestita in un account di archiviazione fornito dall'utente corrente durante la creazione, per poter gestire la località e l'accesso al fine di soddisfare i requisiti di conformità normativi. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Distribuisci le associazioni per un'applicazione gestita | Distribuisce una risorsa di associazione che associa i tipi di risorse selezionate all'applicazione gestita specificata. Questa distribuzione dei criteri non supporta i tipi di risorse annidati. | deployIfNotExists | 1.0.0 |
Grafana gestito
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Grafana gestito di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Managed Grafana, è possibile ridurre i rischi di perdita dei dati. | Audit, Disabled | 1.0.0 |
| Le aree di lavoro di Grafana gestite di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro Grafana gestita di Azure non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro. | Audit, Deny, Disabled | 1.0.0 |
| Configurare dashboard di Grafana gestiti di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Grafana gestito di Azure, è possibile ridurre i rischi di perdita dei dati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Grafana gestite di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'area di lavoro Grafana gestita di Azure in modo che non sia accessibile tramite La rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Grafana gestite di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Grafana gestite di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
Identità gestita
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Le credenziali federate dell'identità gestita da Azure Kubernetes devono essere provenienti da origini attendibili | Questo criterio limita la federeation con i cluster Azure Kubernetes solo a cluster provenienti da tenant approvati, aree approvate e un elenco specifico di eccezioni di cluster aggiuntivi. | Audit, Disabled, Deny | 1.0.0-preview |
| [Anteprima]: le credenziali federate dell'identità gestita da GitHub devono essere di proprietari di repository attendibili | Questo criterio limita la federazione con i repository GitHub solo ai proprietari dei repository approvati. | Audit, Disabled, Deny | 1.0.1-preview |
| [Anteprima]: Le credenziali federate dell'identità gestita devono essere provenienti dai tipi di autorità di certificazione consentiti | Questo criterio limita se le identità gestite possono usare credenziali federate, quali tipi di autorità di certificazione comuni sono consentiti e fornisce un elenco di eccezioni emittente consentite. | Audit, Disabled, Deny | 1.0.0-preview |
| [Anteprima]: Assegnare un'identità gestita assegnata dall'utente predefinita a set di scalabilità di macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala ai set di scalabilità di macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
| [Anteprima]: Assegnare un'identità gestita assegnata dall'utente predefinita a Macchine virtuali | Creare e assegnare un'identità gestita assegnata dall'utente predefinita o assegnare un'identità gestita assegnata dall'utente precedente su larga scala alle macchine virtuali. Per una documentazione più dettagliata, visitare aka.ms/managedidentitypolicy. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.6-preview |
Mappe
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| CORS non deve consentire a ogni risorsa di accedere all'account della mappa. | La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'account della mappa. Consentire solo ai domini necessari di interagire con l'account della mappa. | Disabled, Audit, Deny | 1.0.0 |
Servizi multimediali
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Servizi multimediali di Azure gli account devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le risorse Servizi multimediali non siano esposte su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle risorse Servizi multimediali. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Servizi multimediali di Azure gli account devono usare un'API che supporta collegamento privato | Servizi multimediali gli account devono essere creati con un'API che supporta il collegamento privato. | Audit, Deny, Disabled | 1.0.0 |
| Servizi multimediali di Azure account che consentono l'accesso all'API v2 legacy devono essere bloccati | L'API legacy v2 Servizi multimediali consente richieste che non possono essere gestite tramite Criteri di Azure. Servizi multimediali risorse create usando l'API 2020-05-01 o versioni successive bloccano l'accesso all'API legacy v2. | Audit, Deny, Disabled | 1.0.0 |
| Servizi multimediali di Azure i criteri della chiave simmetrica devono usare l'autenticazione basata su token | I criteri chiave simmetrica definiscono le condizioni che devono essere soddisfatte per accedere alle chiavi simmetriche. Una restrizione del token garantisce che le chiavi simmetriche possano essere accessibili solo dagli utenti che dispongono di token validi da un servizio di autenticazione, ad esempio l'ID Microsoft Entra. | Audit, Deny, Disabled | 1.0.1 |
| Servizi multimediali di Azure processi con input HTTPS devono limitare gli URI di input ai modelli URI consentiti | Limitare gli input HTTPS usati dai processi Servizi multimediali agli endpoint noti. Gli input dagli endpoint HTTPS possono essere disabilitati completamente impostando un elenco vuoto di modelli di input dei processi consentiti. Dove gli input del processo specificano un 'baseUri' i modelli verranno confrontati con questo valore; quando 'baseUri' non è impostato, il criterio viene confrontato con la proprietà 'files'. | Deny, Disabled | 1.0.1 |
| Servizi multimediali di Azure devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Servizi multimediali. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/mediaservicescmkdocs. | Audit, Deny, Disabled | 1.0.0 |
| Servizi multimediali di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Servizi multimediali account. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
Migrate
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare le risorse di Azure Migrate per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il progetto di Azure Migrate. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
Rete mobile
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare l'accesso diagnostico del piano di controllo di Packet Core per l'uso del tipo di autenticazione Microsoft EntraID | Il tipo Authenticaton deve essere Microsoft EntraID per l'accesso diagnostico di base dei pacchetti tramite le API locali | Modificare, Disabilitata | 1.0.0 |
| L'accesso diagnostico del piano di controllo di Packet Core deve usare solo il tipo di autenticazione EntraID di Microsoft | Il tipo Authenticaton deve essere Microsoft EntraID per l'accesso diagnostico di base dei pacchetti tramite le API locali | Audit, Deny, Disabled | 1.0.0 |
| Il gruppo SIM deve usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei segreti SIM inattivi in un gruppo SIM. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative e consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Deny, Disabled | 1.0.0 |
Monitoraggio
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Configurare computer Linux abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Proteggere i computer Linux abilitati per Azure Arc con funzionalità di Microsoft Defender per il cloud, installando gli agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare computer Windows abilitati per Azure Arc con agenti di Log Analytics connessi all'area di lavoro Log Analytics predefinita | Proteggere i computer Windows abilitati per Azure Arc con funzionalità di Microsoft Defender per il cloud, installando agenti di Log Analytics che inviano dati a un'area di lavoro Log Analytics predefinita creata da Microsoft Defender per il cloud. | DeployIfNotExists, Disabled | 1.1.0-preview |
| [Anteprima]: Configurare l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Monitoraggio di Azure nelle macchine virtuali | Configurare l'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Monitoraggio di Azure e non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Monitoraggio di Azure e deve essere aggiunta ai computer prima di usare qualsiasi estensione di Monitoraggio di Azure. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | Modificare, Disabilitata | 6.0.0-preview |
| [Anteprima]: L'estensione Log Analytics deve essere abilitata per le immagini delle macchine virtuali elencate | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Linux in Azure Arc | Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: L'estensione di Log Analytics deve essere installata nelle macchine virtuali Windows in Azure Arc | Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows | Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Il log attività deve essere conservato per almeno un anno | Questo criterio controlla il log attività per verificare se la conservazione è impostata o meno su 365 giorni o per sempre (giorni di conservazione impostati su 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni amministrative specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni amministrative specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| Per operazioni dei criteri specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni dei criteri specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 3.0.0 |
| Per operazioni di sicurezza specifiche deve esistere un avviso del log attività | Questo criterio controlla operazioni di sicurezza specifiche per cui non sono configurati avvisi del log attività. | AuditIfNotExists, Disabled | 1.0.0 |
| I componenti di Application Insights devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza di Application Insights bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log di questo componente. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-application-insights. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I componenti di Application Insights devono bloccare l'inserimento non basato su Azure Active Directory. | L'applicazione dell'inserimento dei log per richiedere l'autenticazione di Azure Active Directory impedisce i log non autenticati da un utente malintenzionato che potrebbe causare uno stato errato, falsi avvisi e log non corretti archiviati nel sistema. | Deny, Audit, Disabled | 1.0.0 |
| I componenti di Application Insights con collegamento privato abilitati devono usare gli account Bring Your Own Archiviazione per profiler e debugger. | Per supportare i criteri di collegamento privato e chiave gestita dal cliente, creare un account di archiviazione personalizzato per profiler e debugger. Altre informazioni in https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Deny, Audit, Disabled | 1.0.0 |
| Controlla l'impostazione di diagnostica per i tipi di risorse selezionati | Controlla l'impostazione di diagnostica per i tipi di risorse selezionati. Assicurarsi di selezionare solo i tipi di risorse che supportano le impostazioni di diagnostica. | AuditIfNotExists | 2.0.1 |
| app Azure lication Gateway deve avere i log delle risorse abilitati | Abilitare i log delle risorse per app Azure lication Gateway (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Frontdoor di Azure deve avere i log delle risorse abilitati | Abilitare i log delle risorse per Frontdoor di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Per Frontdoor di Azure Standard o Premium (Plus WAF) devono essere abilitati i log delle risorse | Abilitare i log delle risorse per Frontdoor di Azure Standard o Premium (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli avvisi di Ricerca log di Azure sulle aree di lavoro Log Analytics devono usare chiavi gestite dal cliente | Assicurarsi che gli avvisi di Ricerca log di Azure implementino chiavi gestite dal cliente archiviando il testo della query usando l'account di archiviazione fornito dal cliente per l'area di lavoro Log Analytics su cui è stata eseguita una query. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Audit, Disabled, Deny | 1.0.0 |
| Il profilo di log di Monitoraggio di Azure deve raccogliere i log per le categorie 'scrittura', 'eliminazione' e 'azione' | Questo criterio garantisce che un profilo di log raccolga i log per le categorie 'scrittura, 'eliminazione' e 'azione' | AuditIfNotExists, Disabled | 1.0.0 |
| I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) | Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente | Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| I log di Monitoraggio di Azure per Application Insights devono essere collegati a un'area di lavoro Log Analytics | Collegare il componente Application Insights a un'area di lavoro Log Analytics per la crittografia dei log. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso ai dati in Monitoraggio di Azure. Il collegamento del componente a un'area di lavoro Log Analytics abilitata con una chiave gestita dal cliente garantisce che i log di Application Insights soddisfino questo requisito di conformità, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Monitoraggio di Azure collegamento privato Ambito deve bloccare l'accesso alle risorse di collegamento non privato | collegamento privato di Azure consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito di monitoraggio di Azure collegamento privato (AMPLS). collegamento privato le modalità di accesso sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo collegamento privato risorse (per impedire l'esfiltrazione dei dati). Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Audit, Deny, Disabled | 1.0.0 |
| L'ambito di Monitoraggio di Azure collegamento privato deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'ambito dei collegamento privato di Monitoraggio di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitoraggio di Azure deve raccogliere i log attività da tutte le aree | Questo criterio controlla il profilo del log di Monitoraggio di Azure che non esporta le attività da tutte le aree supportate da Azure, incluse quelle globali. | AuditIfNotExists, Disabled | 2.0.0 |
| La soluzione 'Sicurezza e controllo' di Monitoraggio di Azure deve essere distribuita | Questo criterio garantisce che il servizio Sicurezza e controllo sia distribuito. | AuditIfNotExists, Disabled | 1.0.0 |
| Le sottoscrizioni di Azure devono avere un profilo di log per il log attività | Questo criterio verifica se è abilitato un profilo di log per l'esportazione dei log attività. Controlla se non è stato creato un profilo di log per esportare i log in un account di archiviazione o in un hub eventi. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare i log attività di Azure per lo streaming nell'area di lavoro Log Analytics specificata | Distribuisce le impostazioni di diagnostica per l'attività di Azure per trasmettere i log di controllo delle sottoscrizioni a un'area di lavoro Log Analytics per monitorare gli eventi a livello di sottoscrizione | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i componenti di app Azure lication Insights per disabilitare l'accesso alla rete pubblica per l'inserimento e l'esecuzione di query sui log | Disabilitare l'inserimento e l'esecuzione di query sui componenti dalle reti pubbliche per migliorare la sicurezza. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-application-insights. | Modificare, Disabilitata | 1.1.0 |
| Configurare le aree di lavoro di Azure Log Analytics per disabilitare l'accesso alla rete pubblica per l'inserimento e l'esecuzione di query sui log | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Modificare, Disabilitata | 1.1.0 |
| Configurare Monitoraggio di Azure collegamento privato Ambito per bloccare l'accesso alle risorse di collegamento non privato | collegamento privato di Azure consente di connettere le reti virtuali alle risorse di Azure tramite un endpoint privato a un ambito di monitoraggio di Azure collegamento privato (AMPLS). collegamento privato le modalità di accesso sono impostate su AMPLS per controllare se le richieste di inserimento e query dalle reti possono raggiungere tutte le risorse o solo collegamento privato risorse (per impedire l'esfiltrazione dei dati). Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Modificare, Disabilitata | 1.0.0 |
| Configurare Monitoraggio di Azure collegamento privato Ambito per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'ambito del collegamento privato di Monitoraggio di Azure. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli ambiti di Monitoraggio di Azure collegamento privato con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli ambiti di monitoraggio di Azure collegamento privato, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Dependency Agent nei server Linux con abilitazione di Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare Dependency Agent nei server Linux abilitati per Azure Arc con le impostazioni dell'agente di monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . | DeployIfNotExists, Disabled | 1.1.2 |
| Configurare Dependency Agent nei server Windows con abilitazione di Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare Dependency Agent nei server Windows con abilitazione di Azure Arc con le impostazioni dell'agente di monitoraggio di Azure | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite i server abilitati per Arc installando l'estensione macchina virtuale Dependency Agent con le impostazioni dell'agente di monitoraggio di Azure. Informazioni dettagliate sulle macchine virtuali usa Dependency Agent per raccogliere le metriche di rete e i dati individuati sui processi in esecuzione nel computer e sulle dipendenze dei processi esterni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . | DeployIfNotExists, Disabled | 1.1.2 |
| Configurare i computer Linux Arc da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i computer Linux Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.0 |
| Configurare i computer abilitati per Linux Arc per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Linux Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se l'area è supportata. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Configurare i computer Linux da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare macchine virtuali Linux, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 6.3.0 |
| Configurare linux set di scalabilità di macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.2.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configurare i set di scalabilità di macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare linux Macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare le macchine virtuali Linux alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.2.0 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione basata sull'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.5.0 |
| Configurare le macchine virtuali Linux per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Linux per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.6.0 |
| Configurare l'estensione Log Analytics nei server Linux abilitati per Azure Arc. Vedere l'avviso di deprecazione riportato di seguito | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | DeployIfNotExists, Disabled | 2.1.1 |
| Configurare l'estensione Log Analytics nei server Windows con abilitazione di Azure Arc | Abilitare informazioni dettagliate sulle macchine virtuali nei server e nei computer connessi ad Azure tramite server abilitati per Arc installando l'estensione macchina virtuale Log Analytics. Informazioni dettagliate sulle macchine virtuali usa l'agente di Log Analytics per raccogliere i dati sulle prestazioni del sistema operativo guest e fornisce informazioni dettagliate sulle prestazioni. Per altre informazioni, https://aka.ms/vminsightsdocsvedere . Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 2.1.1 |
| Configurare l'area di lavoro Log Analytics e l'account di automazione per centralizzare i log e il monitoraggio | Distribuire un gruppo di risorse contenente l'area di lavoro Log Analytics e l'account di automazione collegato per centralizzare i log e il monitoraggio. L'account di automazione è aprerequisite per soluzioni come Aggiornamenti e Rilevamento modifiche. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Configurare i computer Windows Arc da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i computer Windows Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 2.2.0 |
| Configurare i computer abilitati per Windows Arc per l'esecuzione dell'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei computer abilitati per Windows Arc per la raccolta dei dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 2.4.0 |
| Configurare i computer Windows da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare macchine virtuali Windows, set di scalabilità di macchine virtuali e computer Arc alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 4.5.0 |
| Configurare Windows set di scalabilità di macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare i set di scalabilità di macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.0 |
| Configurare i set di scalabilità di macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 3.4.0 |
| Configurare i set di scalabilità di macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei set di scalabilità di macchine virtuali Windows per raccogliere i dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare Windows Macchine virtuali da associare a una regola di raccolta dati o a un endpoint di raccolta dati | Distribuisci associazione per collegare le macchine virtuali Windows alla regola di raccolta dati specificata o all'endpoint di raccolta dati specificato. L'elenco delle posizioni e delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aumentato il supporto. | DeployIfNotExists, Disabled | 3.3.0 |
| Configurare le macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure usando l'identità gestita assegnata dal sistema | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione se il sistema operativo e l'area sono supportati e l'identità gestita assegnata dal sistema è abilitata e ignora l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 4.4.0 |
| Configurare le macchine virtuali Windows per eseguire l'agente di Monitoraggio di Azure con l'autenticazione gestita assegnata dall'utente | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nelle macchine virtuali Windows per raccogliere dati di telemetria dal sistema operativo guest. Questo criterio installerà l'estensione e la configurerà in modo da usare l'identità gestita assegnata dall'utente specificata se il sistema operativo e l'area sono supportati e ignorare l'installazione in caso contrario. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.4.0 |
| L'agente di dipendenza deve essere abilitato per le immagini delle macchine virtuali elencate | Segnala le macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aggiornato il supporto. | AuditIfNotExists, Disabled | 2.0.0 |
| L'agente di dipendenza deve essere abilitato nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'agente non è installato. L'elenco delle immagini del sistema operativo viene aggiornato nel tempo man mano che viene aggiornato il supporto. | AuditIfNotExists, Disabled | 2.0.0 |
| Distribuisci: configurare Dependency Agent da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale si trova nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci : configurare Dependency Agent da abilitare nelle macchine virtuali Windows | Distribuire Dependency Agent per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci: configurare le impostazioni di diagnostica in un'area di lavoro Log Analytics da abilitare nel modulo di protezione hardware gestito di Azure Key Vault | Distribuisce le impostazioni di diagnostica per il modulo di protezione hardware gestito di Azure Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando un modulo di protezione hardware gestito di Azure Key Vault mancante viene creato o aggiornato. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci : configurare l'estensione Log Analytics da abilitare nei set di scalabilità di macchine virtuali Windows | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Deploy - Configurare l'estensione Log Analytics da abilitare nelle macchine virtuali Windows | Distribuire l'estensione Log Analytics per le macchine virtuali Windows se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione all'agente di Monitoraggio di Azure sostitutivo prima di tale data. | DeployIfNotExists, Disabled | 3.1.0 |
| Distribuisci Dependency Agent per i set di scalabilità di macchine virtuali Linux | Distribuisce Dependency Agent per i set di scalabilità di macchine virtuali Linux se l'immagine (sistema operativo) della macchina virtuale è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | deployIfNotExists | 5.0.0 |
| Distribuire Dependency Agent per set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. Nota: se la proprietà upgradePolicy del set di scalabilità è impostata su Manual, è necessario applicare l'estensione a tutte le macchine virtuali nel set chiamandone l'aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. | DeployIfNotExists, Disabled | 3.1.1 |
| Distribuisci Dependency Agent per le macchine virtuali Linux | Distribuisce Dependency Agent per le macchine virtuali Linux se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | deployIfNotExists | 5.0.0 |
| Distribuire Dependency Agent per macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per le macchine virtuali Linux con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale (sistema operativo) è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 3.1.1 |
| Distribuire Dependency Agent da abilitare nei set di scalabilità di macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per i set di scalabilità di macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. Se il set di scalabilità upgradePolicy è impostato su Manuale, è necessario applicare l'estensione a tutte le macchine virtuali nel set aggiornandole. | DeployIfNotExists, Disabled | 1.2.2 |
| Distribuire Dependency Agent da abilitare nelle macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure | Distribuire Dependency Agent per le macchine virtuali Windows con le impostazioni dell'agente di monitoraggio di Azure se l'immagine della macchina virtuale è nell'elenco definito e l'agente non è installato. | DeployIfNotExists, Disabled | 1.2.2 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per l'account Batch nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'account Batch per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un account Batch in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Analytics nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Analytics per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Analytics in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'hub eventi | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Data Lake Storage Gen1 nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Data Lake Storage Gen1 per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Data Lake Storage Gen1 in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per hub eventi nell'hub eventi | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per l'hub eventi nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per l'hub eventi per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un hub eventi in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Key Vault nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Key Vault per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un Key Vault in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 3.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'hub eventi | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per le app per la logica nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per le app per la logica per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'app per la logica in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire le impostazioni di diagnostica per i gruppi di sicurezza di rete | Questo criterio distribuisce automaticamente le impostazioni diagnostiche nei gruppi di sicurezza di rete. Verrà creato automaticamente un account di archiviazione con il nome '{storagePrefixParameter}{NSGLocation}'. | deployIfNotExists | 2.0.1 |
| Distribuisci le impostazioni di diagnostica per i servizi di ricerca nell'hub eventi | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il servizio di ricerca nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di ricerca per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un servizio di ricerca in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'hub eventi | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per il bus di servizio nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per il bus di servizio per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creato o aggiornato un bus di servizio in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.1.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'hub eventi | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un hub eventi a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 2.0.0 |
| Distribuisci le impostazioni di diagnostica per Analisi di flusso nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Analisi di flusso per lo streaming in un'area di lavoro Log Analytics a livello di area quando viene creata o aggiornata un'istanza di Analisi di flusso in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Distribuire l'estensione Log Analytics per i set di scalabilità di macchine virtuali Linux se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Nota: se il set di scalabilità upgradePolicy è impostato su manuale, è necessario applicare l'estensione a tutte le VM del set tramite una chiamata di aggiornamento. Nell'interfaccia della riga di comando il comando da usare è az vmss update-instances. Avviso di deprecazione: l'agente di Log Analytics non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Distribuire l'estensione Log Analytics per le macchine virtuali Linux. Vedere l'avviso di deprecazione riportato di seguito | Distribuire l'estensione Log Analytics per le macchine virtuali Linux se l'immagine della macchina virtuale è nell'elenco definito e l'estensione non è installata. Avviso di deprecazione: l'agente di Log Analytics si trova in un percorso di deprecazione e non sarà supportato dopo il 31 agosto 2024. È necessario eseguire la migrazione alla sostituzione dell'agente di Monitoraggio di Azure prima di tale data | deployIfNotExists | 3.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di Gestione API (microsoft.apimanagement/service) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i servizi Gestione API (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Configurazione app (microsoft.appconfiguration/configurationstores) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Configurazione app (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per servizio app (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per servizio app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gruppo di applicazioni (microsoft.desktopvirtualization/applicationgroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il gruppo di applicazioni Desktop virtuale Azure (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Application Insights (Microsoft.Insights/components) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Application Insights (Microsoft.Insights/components). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i provider di attestazioni (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i provider di attestazioni (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i provider di attestazione (microsoft.attestation/attestationproviders) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i provider di attestazioni (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account di automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account di Automazione (microsoft.automation/automationaccounts) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli account di Automazione (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i cloud privati AVS (microsoft.avs/privateclouds) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i cloud privati AVS (microsoft.avs/privateclouds) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i cloud privati AVS (microsoft.avs/privateclouds) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per cloud privati AVS (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cache di Azure per Redis (microsoft.cache/redis) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per cache di Azure per Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per cache di Azure per Redis (microsoft.cache/redis) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per cache di Azure per Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per cache di Azure per Redis (microsoft.cache/redis) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per cache di Azure per Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Cosmos DB (microsoft.documentdb/databaseaccounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure FarmBeats (microsoft.agfoodplatform/farmbeats) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Azure Machine Learning (microsoft.machinelearningservices/workspaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Azure Machine Learning (microsoft.machinelearningservices/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi cognitivi (microsoft.cognitiveservices/accounts) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Servizi cognitivi (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per registri contenitori (microsoft.containerregistry/registries) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per registri contenitori (microsoft.containerregistry/registries) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per registri contenitori (microsoft.containerregistry/registries) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per registri contenitori (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione in base al gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione in base al gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i domini di Griglia di eventi (microsoft.eventgrid/domains) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i domini di Griglia di eventi (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per spazi dei nomi partner di Griglia di eventi (microsoft.eventgrid/partnernamespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per argomenti di Griglia di eventi (microsoft.eventgrid/topics) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli argomenti di Griglia di eventi (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli spazi dei nomi di Hub eventi (microsoft.eventhub/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.cdn/profiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Frontdoor e profili rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.cdn/profiles) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Frontdoor e profili rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili frontdoor e rete CDN (microsoft.cdn/profiles) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Frontdoor e profili rete CDN (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.network/frontdoors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.network/frontdoors) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili frontdoor e rete CDN (microsoft.network/frontdoors) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per App per le funzioni (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'app per le funzioni (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il pool di host (microsoft.desktopvirtualization/hostpools) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il pool di host di Desktop virtuale Azure (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per hub IoT (microsoft.devices/iothubs) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per hub IoT (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per insiemi di credenziali delle chiavi (microsoft.keyvault/vaults) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli insiemi di credenziali delle chiavi (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per le aree di lavoro Log Analytics (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i moduli di protezione hardware gestiti (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Servizi multimediali (microsoft.media/mediaservices) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Servizi multimediali (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli account Microsoft Purview (microsoft.purview/accounts) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per gli account Microsoft Purview (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il server flessibile PostgreSQL (microsoft.dbforpostgresql/flexibleservers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Database di Azure per PostgreSQL server flessibile (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per indirizzi IP pubblici (microsoft.network/publicipaddresses) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi bus di servizio (microsoft.servicebus/namespaces) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per spazi dei nomi bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi bus di servizio (microsoft.servicebus/namespaces) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli spazi dei nomi bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per spazi dei nomi bus di servizio (microsoft.servicebus/namespaces) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per spazi dei nomi bus di servizio (microsoft.servicebus/namespaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per SignalR (microsoft.signalrservice/signalr) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i database SQL (microsoft.sql/servers/databases) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per i database SQL (microsoft.sql/server/databases). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un hub eventi per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un'area di lavoro Log Analytics per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per le istanze gestite di SQL (microsoft.sql/managedinstances) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per indirizzare i log a un account di archiviazione per le istanze gestite di SQL (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Analizzatori video (microsoft.media/videoanalyzers) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per analizzatori video (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per volumi (microsoft.netapp/netappaccounts/capacitypools/volumes) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di Archiviazione per i volumi (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio Web PubSub (microsoft.signalrservice/webpubsub) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per il servizio Web PubSub (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Area di lavoro (microsoft.desktopvirtualization/workspaces) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'area di lavoro Desktop virtuale Azure (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Nei computer abilitati per Linux Arc deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Linux Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i computer abilitati per Arc nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Nei set di scalabilità di macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Linux devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla i set di scalabilità di macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Nelle macchine virtuali Linux deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Linux devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Questo criterio controlla le macchine virtuali con immagini del sistema operativo supportate nelle aree supportate. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| L'estensione Log Analytics deve essere abilitata nei set di scalabilità di macchine virtuali per le immagini delle macchine virtuali elencate | Segnala i set di scalabilità di macchine virtuali come non conformi se l'immagine della macchina virtuale non è nell'elenco definito e l'estensione non è installata. | AuditIfNotExists, Disabled | 2.0.1 |
| Le aree di lavoro Log Analytics devono bloccare l'inserimento dei log e l'esecuzione di query da reti pubbliche | Migliorare la sicurezza dell'area di lavoro bloccando l'inserimento dei log e l'esecuzione di query da reti pubbliche. Solo le reti connesse a collegamento privato potranno inserire ed eseguire query sui log in questa area di lavoro. Per ulteriori informazioni, vedi https://aka.ms/AzMonPrivateLink#configure-log-analytics. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Le aree di lavoro log analytics devono bloccare l'inserimento non basato su Azure Active Directory. | L'applicazione dell'inserimento dei log per richiedere l'autenticazione di Azure Active Directory impedisce i log non autenticati da un utente malintenzionato che potrebbe causare uno stato errato, falsi avvisi e log non corretti archiviati nel sistema. | Deny, Audit, Disabled | 1.0.0 |
| Gli indirizzi IP pubblici devono avere i log delle risorse abilitati per Protezione DDoS di Azure | Abilitare i log delle risorse per gli indirizzi IP pubblici nelle impostazioni di diagnostica per lo streaming in un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico di attacco e sulle azioni intraprese per mitigare gli attacchi DDoS tramite notifiche, report e log dei flussi. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| I log delle risorse devono essere abilitati per Il controllo sulle risorse supportate | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. L'esistenza di un'impostazione di diagnostica per il gruppo di categorie Audit nei tipi di risorse selezionati garantisce che questi log siano abilitati e acquisiti. I tipi di risorse applicabili sono quelli che supportano il gruppo di categorie "Audit". | AuditIfNotExists, Disabled | 1.0.0 |
| Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log | Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| L'account di archiviazione che include il contenitore con i log attività deve essere crittografato tramite BYOK | Questo criterio verifica se l'account di archiviazione che include il contenitore con i log attività è crittografato tramite BYOK. Il criterio funziona solo se l'account di archiviazione risiede nella stessa sottoscrizione dei log attività per impostazione predefinita. Per altre informazioni sulla crittografia dei dati inattivi in Archiviazione di Azure, vedere https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei server Linux con abilitazione di Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Linux abilitati per Azure Arc. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei server Windows con abilitazione di Azure Arc | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione agente legacy nei server Windows con abilitazione di Azure Arc. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei set di scalabilità di macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Linux. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nelle macchine virtuali Linux | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Linux. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nei set di scalabilità di macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nei set di scalabilità di macchine virtuali Windows. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione legacy di Log Analytics non deve essere installata nelle macchine virtuali | Impedire automaticamente l'installazione dell'agente di Log Analytics legacy come passaggio finale della migrazione dagli agenti legacy all'agente di Monitoraggio di Azure. Dopo aver disinstallato le estensioni legacy esistenti, questo criterio negherà tutte le installazioni future dell'estensione dell'agente legacy nelle macchine virtuali Windows. Ulteriori informazioni: https://aka.ms/migratetoAMA | Deny, Audit, Disabled | 1.0.0 |
| L'estensione Log Analytics deve essere installata in set di scalabilità di macchine virtuali | Questo criterio controlla qualsiasi set di scalabilità di macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
| Le macchine virtuali devono essere connesse a un'area di lavoro specificata | Segnala le macchine virtuali come non conformi se non accedono all'area di lavoro Log Analytics specificata nell'assegnazione di criteri/iniziative. | AuditIfNotExists, Disabled | 1.1.0 |
| Per le macchine virtuali deve essere installata l'estensione Log Analytics | Questo criterio controlla le macchine virtuali Windows/Linux se l'estensione Log Analytics non è installata. | AuditIfNotExists, Disabled | 1.0.1 |
| Nei computer abilitati per Windows Arc deve essere installato l'agente di Monitoraggio di Azure | I computer abilitati per Windows Arc devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I computer abilitati per Windows Arc nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 1.2.0 |
| Nei set di scalabilità di macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | I set di scalabilità di macchine virtuali Windows devono essere monitorati e protetti tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. I set di scalabilità di macchine virtuali con sistema operativo supportato e nelle aree supportate vengono monitorati per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Nelle macchine virtuali Windows deve essere installato l'agente di Monitoraggio di Azure | Le macchine virtuali Windows devono essere monitorate e protette tramite l'agente di Monitoraggio di Azure distribuito. L'agente di Monitoraggio di Azure raccoglie i dati di telemetria dal sistema operativo guest. Le macchine virtuali Windows con sistema operativo supportato e nelle aree supportate vengono monitorate per la distribuzione dell'agente di Monitoraggio di Azure. Altre informazioni: https://aka.ms/AMAOverview. | AuditIfNotExists, Disabled | 3.2.0 |
| Le cartelle di lavoro devono essere salvate in account di archiviazione controllati | Con il modello Bring your own Storage (BYOS), le cartelle di lavoro vengono caricate in un account di archiviazione controllato dall'utente. Questo significa che è possibile controllare i criteri di crittografia dei dati inattivi, i criteri di gestione della durata e l'accesso alla rete. Si sarà tuttavia responsabili dei costi associati a tale account di archiviazione. Per altre informazioni, vedere https://aka.ms/workbooksByos | deny, Deny, audit, Audit, disabled, Disabled | 1.1.0 |
Rete
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Registro Container deve usare un endpoint servizio di rete virtuale | Questo criterio controlla i Registri Azure Container che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0-preview |
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| servizio app le app devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sui servizio app endpoint di servizio, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| app Azure lication Gateway deve essere distribuito con Azure WAF | Richiede che le risorse del gateway di app Azure lication vengano distribuite con Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
| I criteri firewall di Azure devono abilitare l'ispezione TLS nelle regole dell'applicazione | È consigliabile abilitare l'ispezione TLS per tutte le regole dell'applicazione per rilevare, avvisare e attenuare le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitarehttps://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Premium deve configurare un certificato intermedio valido per abilitare l'ispezione TLS | Configurare un certificato intermedio valido e abilitare Firewall di Azure ispezione TLS Premium per rilevare, inviare avvisi e attenuare le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitarehttps://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
| Web application firewall di Azure nel gateway di app Azure lication deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che i web application firewall associati ai gateway di app Azure lication dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure in Frontdoor di Azure deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che web application firewall associati a Frontdoor di Azure dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| Protezione bot deve essere abilitata per app Azure waf gateway | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri web application firewall (WAF) del gateway di app Azure | Audit, Deny, Disabled | 1.0.0 |
| La protezione bot deve essere abilitata per Frontdoor di Azure WAF | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) di Frontdoor di Azure | Audit, Deny, Disabled | 1.0.0 |
| L'elenco di bypass del sistema di rilevamento e prevenzione delle intrusioni (IDPS) deve essere vuoto in Criteri firewall Premium | L'elenco di bypass del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di non filtrare il traffico verso indirizzi IP, intervalli e subnet specificati nell'elenco di bypass. Tuttavia, l'abilitazione di IDPS è consigliata per tutti i flussi di traffico per identificare meglio le minacce note. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di sicurezza di rete di Azure nell'area di lavoro Log Analytics | Distribuire le impostazioni di diagnostica nei gruppi di sicurezza di rete di Azure per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione del flusso per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.2 |
| I database Cosmos DB devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i database Cosmos DB che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare informazioni sul traffico IP che scorre attraverso una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DeployIfNotExists, Disabled | 1.1.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Abilitare la regola limite di frequenza per proteggere da attacchi DDoS in Frontdoor di Azure WAF | La regola di limite di frequenza di Web application firewall (WAF) di Azure per Frontdoor di Azure controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Audit, Deny, Disabled | 1.0.0 |
| Gli hub eventi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli hub eventi che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| Firewall Policy Premium deve abilitare tutte le regole di firma IDPS per monitorare tutti i flussi di traffico in ingresso e in uscita | L'abilitazione di tutte le regole di firma del sistema di rilevamento e prevenzione delle intrusioni (IDPS) viene consigliata per identificare meglio le minacce note nei flussi di traffico. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Firewall Policy Premium deve abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS) | L'abilitazione del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di monitorare la rete per individuare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla. Per altre informazioni sul sistema di rilevamento e prevenzione delle intrusioni (IDPS) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete | Controllare che i gruppi di sicurezza di rete verifichino se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | rifiutare | 1.0.0 |
| Gli insieme di credenziali delle chiavi devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli insiemi di credenziali delle chiavi che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| Eseguire la migrazione di WAF dalla configurazione WAF ai criteri WAF in gateway applicazione | Se si dispone di configurazione WAF invece dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. Se si imposta l'inoltro IP, il controllo dell'origine e della destinazione per un'interfaccia di rete eseguito in Azure viene disabilitato. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| I log dei flussi di Network Watcher devono avere l'analisi del traffico abilitata | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| I server SQL devono usare un endpoint servizio di rete virtuale | Questo criterio controlla i server SQL che non sono configurati per usare un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account di archiviazione devono usare un endpoint servizio di rete virtuale | Questo criterio controlla gli account di archiviazione che non sono configurati per usare un endpoint servizio di rete virtuale. | Audit, Disabled | 1.0.0 |
| La sottoscrizione deve configurare il Firewall di Azure Premium per fornire ulteriore livello di protezione | Firewall di Azure Premium offre una protezione avanzata dalle minacce che soddisfa le esigenze di ambienti altamente sensibili e regolamentati. Distribuire Firewall di Azure Premium nella sottoscrizione e assicurarsi che tutto il traffico del servizio sia protetto da Firewall di Azure Premium. Per altre informazioni su Firewall di Azure Premium, visitarehttps://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
| Le reti virtuali devono essere protette da Protezione DDoS di Azure | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Protezione DDoS di Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che le Gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Altre informazioni sull'autenticazione di Azure AD sono disponibili all'indirizzo https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) deve abilitare tutte le regole del firewall per gateway applicazione | L'abilitazione di tutte le regole web application firewall (WAF) rafforza la sicurezza delle applicazioni e protegge le applicazioni Web da vulnerabilità comuni. Per altre informazioni su Web Application Firewall (WAF) con gateway applicazione, visitarehttps://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Portale
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dashboard condivisi non devono includere riquadri markdown con contenuto inline | Non consente la creazione di un dashboard condiviso con contenuto inline in riquadri di markdown e impone che il contenuto venga archiviato come file markdown ospitato online. Se si usa contenuto inline nel riquadro markdown, non sarà possibile gestire la crittografia del contenuto. Configurando una risorsa di archiviazione personalizzata, è possibile applicare la crittografia, la crittografia doppia e usare chiavi personalizzate (BYOK). L'abilitazione di questo criterio impone agli utenti di usare la versione 2020-09-01-preview o successiva delle API REST per i dashboard condivisi. | Audit, Deny, Disabled | 1.0.0 |
Resilienza
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: il servizio Gestione API deve essere con ridondanza della zona | Gestione API servizio può essere configurato in modo che sia ridondante o meno della zona. Un servizio Gestione API è ridondante della zona se il nome sku è "Premium" e contiene almeno due voci nella matrice di zone. Questo criterio identifica Gestione API Servizi senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.1-preview |
| [Anteprima]: i piani di servizio app devono essere ridondanti della zona | servizio app i piani possono essere configurati in modo che siano ridondanti o meno della zona. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un piano di servizio app, non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per i piani di servizio app. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: le gateway applicazione devono essere resilienti per la zona | gateway applicazione possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. gateway applicazione smthat havenexactly una voce nella matrice di zone è considerata allineata alla zona. Al contrario, Application Gatmways withn3 o più voci nella matrice di zone vengono riconosciute come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il servizio di ricerca di intelligenza artificiale di Azure deve essere ridondante della zona | Il servizio Di ricerca di intelligenza artificiale di Azure può essere configurato in modo che sia ridondante o meno della zona. Le zone di disponibilità vengono usate quando si aggiungono due o più repliche al servizio di ricerca. Ogni replica viene inserita in una zona di disponibilità diversa all'interno dell'area. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: cache di Azure per Redis Enterprise & Flash deve essere ridondante della zona | cache di Azure per Redis Enterprise & Flash può essere configurato in modo che sia ridondante o meno della zona. cache di Azure per Redis istanze Enterprise & Flash con meno di 3 voci nella matrice di zone non sono ridondanti della zona. Questo criterio identifica cache di Azure per Redis istanze Enterprise & Flash senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: cache di Azure per Redis deve essere con ridondanza della zona | cache di Azure per Redis può essere configurato in modo che sia ridondante o meno della zona. cache di Azure per Redis istanze con meno di 2 voci nella matrice di zone non sono ridondanti della zona. Questo criterio identifica cache di Azure per Redis istanze senza la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster di Azure Esplora dati devono essere ridondanti della zona | I cluster Esplora dati di Azure possono essere configurati in modo che siano ridondanti della zona o meno. Un cluster di Azure Esplora dati è considerato ridondante della zona se contiene almeno due voci nella matrice di zone. Questo criterio garantisce che i cluster di Esplora dati di Azure siano ridondanti della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Database di Azure per MySQL server flessibile deve essere resiliente alla zona | Database di Azure per MySQL server flessibile può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Il server MySQL con un server di standby selezionato nella stessa zona per la disponibilità elevata è considerato allineato alla zona. Al contrario, il server MySQL con un server di standby selezionato per trovarsi in una zona diversa per la disponibilità elevata viene riconosciuto come ridondante della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Database di Azure per PostgreSQL server flessibile deve essere resiliente alla zona | Database di Azure per PostgreSQL server flessibile può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. Il server PostgreSQL con un server di standby selezionato nella stessa zona per la disponibilità elevata è considerato allineato alla zona. Al contrario, il server PostgreSQL con un server standby selezionato per trovarsi in una zona diversa per la disponibilità elevata viene riconosciuto come ridondante della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Azure HDInsight deve essere allineato alla zona | Azure HDInsight può essere configurato in modo che sia allineato o meno alla zona. Azure HDInsight con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un cluster Azure HDInsight sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: servizio Azure Kubernetes cluster gestiti deve essere ridondante della zona | servizio Azure Kubernetes i cluster gestiti possono essere configurati in modo che siano ridondanti o meno della zona. I criteri controllano i pool di nodi nel cluster e assicurano che le zone di disponibilità siano impostate per tutti i pool di nodi. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Grafana gestito di Azure deve essere con ridondanza della zona | Grafana gestito di Azure può essere configurato in modo da essere con ridondanza della zona o meno. Un'istanza di Grafana gestita di Azure è ridondante della zona è la proprietà "zoneRedundancy" impostata su "Enabled". L'applicazione di questi criteri consente di assicurarsi che Grafana gestito di Azure sia configurato in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il backup e Site Recovery devono essere ridondanti della zona | Il backup e Site Recovery possono essere configurati in modo che siano ridondanti della zona o meno. Backup e Site Recovery è ridondante della zona se la proprietà 'standardTier Archiviazione Redundancy' è impostata su 'ZoneRedundant'. L'applicazione di questi criteri consente di garantire che Backup e Site Recovery siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di backup devono essere ridondanti della zona | Gli insiemi di credenziali di backup possono essere configurati come ridondanti della zona o meno. Gli insiemi di credenziali di backup sono ridondanti della zona se il tipo di impostazioni di archiviazione è impostato su "ZoneRedundant" e sono considerati resilienti. Gli insiemi di credenziali di backup con ridondanza geografica o con ridondanza locale non sono considerati resilienti. L'applicazione di questi criteri consente di garantire che gli insiemi di credenziali di backup siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: l'app contenitore deve essere con ridondanza della zona | L'app contenitore può essere configurata in modo che sia ridondante o meno della zona. Un'app contenitore è ridondante della zona se la proprietà "ZoneRedundant" dell'ambiente gestito è impostata su true. Questo criterio identifica che l'app contenitore non ha la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Istanze di Container deve essere allineato alla zona | Istanze di Container può essere configurato in modo che sia allineato o meno alla zona. Vengono considerati allineati alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurati per operare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Registro Contenitori deve essere con ridondanza della zona | Il Registro Contenitori può essere configurato in modo che sia ridondante o meno della zona. Quando la proprietà zoneRedundancy per un registro contenitori è impostata su "Disabled", significa che il Registro di sistema non è ridondante della zona. L'applicazione di questi criteri consente di garantire che registro Contenitori sia configurato in modo appropriato per la resilienza della zona, riducendo il rischio di tempi di inattività durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli account del database Cosmos devono essere con ridondanza della zona | Gli account del database Cosmos possono essere configurati in modo che siano ridondanti o meno della zona. Se 'enableMultipleWriteLocations' è impostato su 'true', tutte le posizioni devono avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. Se 'enableMultipleWriteLocations' è impostato su 'false', il percorso primario ('failoverPriority' impostato su 0) deve avere una proprietà 'isZoneRedundant' e deve essere impostata su 'true'. L'applicazione di questi criteri garantisce che gli account del database Cosmos siano configurati in modo appropriato per la ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Hub eventi deve essere con ridondanza della zona | Hub eventi può essere configurato in modo che sia ridondante o meno della zona. Hub eventi è ridondante della zona se la proprietà "zoneRedundant" è impostata su "true". L'applicazione di questi criteri consente di garantire che gli Hub eventi siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi inattivi durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I firewall devono essere resilienti alla zona | I firewall possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I firewall che hanno esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i firewall con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i servizi di bilanciamento del carico devono essere resilienti per la zona | I servizi di bilanciamento del carico con uno SKU diverso da Basic ereditano la resilienza degli indirizzi IP pubblici nel front-end. Se combinato con i criteri "Indirizzi IP pubblici deve essere resiliente alla zona", questo approccio garantisce la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Managed Disks deve essere resiliente alla zona | I dischi gestiti possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I dischi gestiti con un'assegnazione di zona sono allineati alla zona. Managed Disks con un nome sku che termina con l'archiviazione con ridondanza della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza per Managed Disks. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il gateway NAT deve essere allineato alla zona | Il gateway NAT può essere configurato in modo che sia allineato o meno alla zona. Il gateway NAT con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un gateway NAT sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli indirizzi IP pubblici devono essere resilienti per la zona | Gli indirizzi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. Gli indirizzi IP pubblici a livello di area, con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, gli indirizzi IP pubblici a livello di area, con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I prefissi IP pubblici devono essere resilienti alla zona | I prefissi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I prefissi IP pubblici con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i prefissi IP pubblici con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: bus di servizio deve essere con ridondanza della zona | bus di servizio può essere configurato in modo che sia ridondante o meno della zona. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un bus di servizio, significa che non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per le istanze di bus di servizio. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I cluster di Service Fabric devono essere con ridondanza della zona | I cluster di Service Fabric possono essere configurati in modo da essere con ridondanza della zona o meno. I cluster servicefabric i cui nodeType non hanno multipleAvailabilityZones impostati su true non sono ridondanti della zona. Questo criterio identifica i cluster servicefabric privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i database SQL devono essere con ridondanza della zona | I database SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I database con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurati per la ridondanza della zona. Questo criterio consente di identificare i database SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i pool di database elastici SQL devono essere con ridondanza della zona | I pool di database elastici SQL possono essere configurati in modo da essere con ridondanza della zona o meno. I pool di database elastici SQL sono con ridondanza della zona se la proprietà 'zoneRedundant' è impostata su 'true'. L'applicazione di questi criteri consente di garantire che gli Hub eventi siano configurati in modo appropriato per la resilienza della zona, riducendo il rischio di tempi inattivi durante le interruzioni della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: le Istanze gestite di SQL devono essere con ridondanza della zona | Le istanze gestite di SQL possono essere configurate in modo da essere con ridondanza della zona o meno. Le istanze con l'impostazione 'zoneRedundant' impostata su 'false' non sono configurate per la ridondanza della zona. Questo criterio consente di identificare le istanze gestite di SQL che richiedono la configurazione della ridondanza della zona per migliorare la disponibilità e la resilienza all'interno di Azure. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: gli account Archiviazione devono essere ridondanti della zona | Archiviazione gli account possono essere configurati come ridondanti della zona o meno. Se il nome dello SKU di un account Archiviazione non termina con "ZRS" o il relativo tipo è "Archiviazione", non è ridondante della zona. Questo criterio garantisce che gli account Archiviazione usino una configurazione con ridondanza della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: set di scalabilità di macchine virtuali deve essere resiliente alla zona | set di scalabilità di macchine virtuali può essere configurato in modo che sia allineato alla zona, ridondante della zona o nessuno dei due. set di scalabilità di macchine virtuali che hanno esattamente una voce nella matrice di zone vengono considerate allineate alla zona. Al contrario, set di scalabilità di macchine virtuali con 3 o più voci nella matrice di zone e una capacità di almeno 3 vengono riconosciute come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Macchine virtuali deve essere allineato alla zona | Macchine virtuali può essere configurato in modo che sia allineato o meno alla zona. Vengono considerati allineati alla zona se hanno una sola voce nella matrice di zone. Questo criterio garantisce che siano configurati per operare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I gateway di rete virtuale devono essere ridondanti della zona | I gateway di rete virtuale possono essere configurati in modo che siano ridondanti o meno della zona. I gateway di rete virtuale il cui nome o livello sku non termina con "AZ" non sono ridondanti della zona. Questo criterio identifica i gateway di rete virtuale privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
Ricerca
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato | Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i servizi di Ricerca cognitiva di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. Si noti che, mentre il parametro disabilita l'autenticazione locale è ancora in anteprima, l'effetto di negazione per questo criterio può comportare funzionalità limitate Ricerca cognitiva di Azure portale poiché alcune funzionalità del portale usano l'API GA che non supporta il parametro . | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare chiavi gestite dal cliente per crittografare i dati inattivi | L'abilitazione della crittografia dei dati inattivi tramite una chiave gestita dal cliente nei servizi di Ricerca cognitiva di Azure offre un controllo aggiuntivo sulla chiave usata per crittografare i dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali per gestire le chiavi di crittografia dei dati usando un insieme di credenziali delle chiavi. | Audit, Deny, Disabled | 1.0.0 |
| Ricerca cognitiva di Azure servizi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Audit, Disabled | 1.0.0 |
| Configurare Ricerca cognitiva di Azure servizi per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che i servizi Ricerca cognitiva di Azure richiedano esclusivamente identità di Azure Active Directory per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/rbac. | Modificare, Disabilitata | 1.0.0 |
| Configurare i servizi di Ricerca cognitiva di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per il servizio Ricerca cognitiva di Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Modificare, Disabilitata | 1.0.0 |
| Configurare Ricerca cognitiva di Azure servizi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Ricerca cognitiva di Azure. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Ricerca cognitiva di Azure servizi con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati al servizio Ricerca cognitiva di Azure, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| I log delle risorse nelle servizio di ricerca devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
Centro sicurezza
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nei computer Linux Arc | Installare l'agente di sicurezza di Azure nei computer Linux Arc per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nei set di scalabilità di macchine virtuali Linux | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nelle macchine virtuali Linux | Installare l'agente di sicurezza di Azure nelle macchine virtuali Linux per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'agente di sicurezza di Azure deve essere installato nei computer Windows Arc | Installare l'agente di sicurezza di Azure nei computer Windows Arc per monitorare le configurazioni di sicurezza e le vulnerabilità dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nei set di scalabilità di macchine virtuali Windows | Installare l'agente di sicurezza di Azure nei set di scalabilità di macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: L'agente di sicurezza di Azure deve essere installato nelle macchine virtuali Windows | Installare l'agente di sicurezza di Azure nelle macchine virtuali Windows per monitorare le configurazioni e le vulnerabilità della sicurezza dei computer. I risultati delle valutazioni possono essere visualizzati e gestiti in Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nel computer Linux Arc | Installare l'estensione ChangeTracking nei computer Linux Arc per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Linux | Installare l'estensione ChangeTracking in macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Linux | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nel computer Windows Arc | Installare l'estensione ChangeTracking nei computer Windows Arc per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Windows | Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Windows | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di monitoraggio di Azure. | AuditIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare Azure Defender per SQL Agent nella macchina virtuale | Configurare i computer Windows per installare automaticamente l'agente di Azure Defender per SQL in cui è installato l'agente di Monitoraggio di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i computer Linux Arc | Configurare i computer Linux Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux | Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Linux | Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i computer Windows Arc | Configurare i computer Windows Arc per installare automaticamente l'estensione ChangeTracking per abilitare Monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows | Configurare i set di scalabilità di macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare l'estensione ChangeTracking per le macchine virtuali Windows | Configurare le macchine virtuali Windows per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Di Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati dall'agente di Monitoraggio di Azure. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare i computer Linux Arc supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i computer Linux Arc supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Linux Arc di destinazione devono trovarsi in un percorso supportato. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 6.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 5.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'agente di sicurezza di Azure | Configurare le macchine virtuali Linux supportate per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 7.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 7.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM | Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare i computer Windows Arc supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i computer Windows Arc supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I computer Windows Arc di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare i computer Windows supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i computer Windows supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'agente di sicurezza di Azure | Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'agente di sicurezza di Azure. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). I set di scalabilità di macchine virtuali Windows di destinazione devono trovarsi in una posizione supportata. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione attestazione guest | Configurare i set di scalabilità di macchine virtuali Windows supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 4.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. | DeployIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione attestazione guest | Configurare le macchine virtuali Windows supportate per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.0.0-preview |
| [Anteprima]: Configurare il set di scalabilità di macchine virtuali creato con immagini Raccolta immagini condivise per installare l'estensione attestazione guest | Configurare il set di scalabilità di macchine virtuali creato con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DeployIfNotExists, Disabled | 2.1.0-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in computer ibridi Linux | Distribuisce Microsoft Defender per endpoint agente in computer ibridi Linux | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in macchine virtuali Linux | Distribuisce Microsoft Defender per endpoint agente nelle immagini di macchine virtuali Linux applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in computer Windows Azure Arc | Distribuisce Microsoft Defender per endpoint nei computer Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: Distribuire Microsoft Defender per endpoint agente in macchine virtuali Windows | Distribuisce Microsoft Defender per endpoint nelle immagini di macchine virtuali Windows applicabili. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.1-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire alle Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | AuditIfNotExists, Disabled | 6.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Linux supportati | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux attendibili e di avvio attendibile. | AuditIfNotExists, Disabled | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali Windows supportate | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibili e Riservate di Windows. | AuditIfNotExists, Disabled | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali Windows supportati | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Windows riservati e all'avvio attendibile. | AuditIfNotExists, Disabled | 3.1.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto | Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato l'agente di Monitoraggio di Azure. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: i computer devono avere porte chiuse che potrebbero esporre vettori di attacco | Le Condizioni per l'utilizzo di Azure impediscono l'uso dei servizi di Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali Windows supportate | Abilitare l'avvio protetto nelle macchine virtuali Windows supportate per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i driver kernel e kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibili e Riservate di Windows. | Audit, Disabled | 4.0.0-preview |
| [Anteprima]: È consigliabile installare gli aggiornamenti nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Lo stato dell'attestazione guest delle macchine virtuali deve essere integro | L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. | AuditIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Audit, Disabled | 2.0.0-preview |
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA | È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. | AuditIfNotExists, Disabled | 1.0.0 |
| I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer | Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. | AuditIfNotExists, Disabled | 3.0.0 |
| Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet | Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | AuditIfNotExists, Disabled | 3.0.0 |
| Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate | Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli endpoint API in Azure Gestione API devono essere autenticati | Gli endpoint API pubblicati in Azure Gestione API devono applicare l'autenticazione per ridurre al minimo i rischi per la sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, Disabled | 1.0.1 |
| Gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio azure Gestione API | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Azure Gestione API. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Azure Gestione API, ma che potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Audit, Disabled | 2.0.1 |
| È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione | Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. | AuditIfNotExists, Disabled | 1.0.1 |
| Protezione DDoS di Azure deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Defender per il Servizio app deve essere abilitato | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server di database SQL di Azure deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per Key Vault deve essere abilitato | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per database relazionali open source deve essere abilitato | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per Resource Manager deve essere abilitato | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | AuditIfNotExists, Disabled | 1.0.0 |
| Azure Defender per i server deve essere abilitato | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | AuditIfNotExists, Disabled | 1.0.3 |
| Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | AuditIfNotExists, Disabled | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 1.0.0 |
| Le immagini del contenitore del Registro di sistema di Azure devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Audit, Disabled | 1.0.3 |
| Le immagini del contenitore in esecuzione in Azure devono avere vulnerabilità risolte (basate sulla gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | AuditIfNotExists, Disabled | 1.0.0 |
| le istanze del ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro | Proteggere le istanze del ruolo del servizio cloud (supporto esteso) dagli attacchi assicurandosi che non siano esposte ad alcuna vulnerabilità del sistema operativo. | AuditIfNotExists, Disabled | 1.0.0 |
| le istanze del ruolo di Servizi cloud (supporto esteso) devono avere una soluzione endpoint protection installata | Proteggere le istanze del ruolo di Servizi cloud (supporto esteso) da minacce e vulnerabilità assicurandosi che in esse sia installata una soluzione endpoint protection. | AuditIfNotExists, Disabled | 1.0.0 |
| le istanze del ruolo Servizi cloud (supporto esteso) devono avere gli aggiornamenti di sistema installati | Proteggere le istanze del ruolo di Servizi cloud (supporto esteso) assicurandosi che siano installati gli aggiornamenti critici e della sicurezza più recenti. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server flessibili del database di Azure per MySQL | Abilitare Advanced Threat Protection nei server flessibili del database di Azure per MySQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server flessibili del database di Azure per PostgreSQL | Abilitare Advanced Threat Protection nei server flessibili del database di Azure per PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nei server SQL abilitati per Windows Arc. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL | Configurare SQL Server abilitati per Windows Arc per installare automaticamente Microsoft Defender per SQL Agent. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare SQL Server abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR | Configurare l'associazione tra SQL Server abilitati per Arc e Microsoft Defender per SQL DCR. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare SQL Server abilitati per Arc con associazione di regole di raccolta dati a Microsoft Defender per SQL DCR definito dall'utente | Configurare l'associazione tra SQL Server abilitati per Arc e Il DCR definito dall'utente di Microsoft Defender per SQL. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Azure Defender per i servizi app da abilitare | Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server di database SQL di Azure da abilitare | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i database relazionali open source da abilitare | Azure Defender per database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per database relazionali open source all'indirizzo https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per Resource Manager per l'abilitazione | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Azure Defender per i server da abilitare | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Azure Defender per i server SQL nelle macchine virtuali da abilitare) | Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare Microsoft Defender di base per Archiviazione da abilitare (solo monitoraggio attività) | Microsoft Defender per Archiviazione è un livello nativo di Intelligence per la sicurezza di Azure che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà le funzionalità di base di Defender per Archiviazione (Monitoraggio attività). Per abilitare la protezione completa, che include anche l'analisi malware on-upload e il rilevamento delle minacce sensibili, usare i criteri di abilitazione completi: aka.ms/DefenderFor Archiviazione Policy. Per altre informazioni sulle funzionalità e i vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderFor Archiviazione. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non lo hanno già installato. | DeployIfNotExists, Disabled | 4.0.0 |
| Configurare il piano CSPM di Microsoft Defender | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender CSPM per l'abilitazione | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Azure Cosmos DB per l'abilitazione | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per contenitori | Le nuove funzionalità vengono aggiunte continuamente al piano Defender per contenitori, che potrebbe richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per contenitori da abilitare | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_EXCLUDE_LINUX...) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_EXCLUDE_LINUX_...), per abilitare il provisioning automatico di MDE per i server Linux. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_UNIFIED_SOLUTION) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_UNIFIED_SOLUTION), per abilitare il provisioning automatico di MDE Unified Agent per Windows Server 2012R2 e 2016. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP), per i computer windows di livello inferiore di cui è stato eseguito l'onboarding in MDE tramite MMA e il provisioning automatico di MDE in Windows Server 2019 , Desktop virtuale Windows e versioni successive. Deve essere attivato affinché le altre impostazioni (WDATP_UNIFIED e così via) funzionino. Per altre informazioni, vedere: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il piano di Microsoft Defender per Key Vault | Microsoft Defender per Key Vault offre un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account dell'insieme di credenziali delle chiavi. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare il piano di Microsoft Defender per server | Le nuove funzionalità vengono aggiunte continuamente a Defender per server, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per SQL per l'abilitazione nelle aree di lavoro di Synapse | Abilitare Microsoft Defender per SQL nelle aree di lavoro di Azure Synapse per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database SQL. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Microsoft Defender per Archiviazione (versione classica) per l'abilitazione | Microsoft Defender per Archiviazione (versione classica) fornisce rilevamenti di tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Microsoft Defender per Archiviazione da abilitare | Microsoft Defender per Archiviazione è un livello nativo di Intelligence per la sicurezza di Azure che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà tutte le funzionalità di Defender per Archiviazione; Monitoraggio delle attività, analisi malware e rilevamento delle minacce per i dati sensibili. Per altre informazioni sulle funzionalità e i vantaggi di Defender per Archiviazione, visitare aka.ms/DefenderFor Archiviazione. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare sql Macchine virtuali per installare automaticamente l'agente di Monitoraggio di Azure | Automatizzare la distribuzione dell'estensione agente di Monitoraggio di Azure nell'Macchine virtuali SQL di Windows. Altre informazioni: https://aka.ms/AMAOverview. | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare sql Macchine virtuali per installare automaticamente Microsoft Defender per SQL | Configurare Windows SQL Macchine virtuali per installare automaticamente l'estensione Microsoft Defender per SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DeployIfNotExists, Disabled | 1.3.0 |
| Configurare SQL Macchine virtuali per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare SQL Macchine virtuali per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | DeployIfNotExists, Disabled | 1.4.0 |
| Configurare l'area di lavoro Microsoft Defender per SQL Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e un'area di lavoro Log Analytics nella stessa area del computer. | DeployIfNotExists, Disabled | 1.2.0 |
| Creare e assegnare un'identità gestita assegnata dall'utente predefinita | Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.4.0 |
| Distribuisci/Configura regole di eliminazione per gli avvisi del Centro sicurezza di Azure | Consente di eliminare gli avvisi del Centro sicurezza di Azure per ridurre il numero eccessivo di avvisi mediante la distribuzione di regole di eliminazione nel gruppo di gestione o nella sottoscrizione. | deployIfNotExists | 1.0.0 |
| Distribuire l'esportazione in Hub eventi come servizio attendibile per i dati di Microsoft Defender per il cloud | Abilitare l'esportazione in Hub eventi come servizio attendibile di dati Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione nell'hub eventi come configurazione del servizio attendibile con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuire l'esportazione nell'hub eventi per i dati di Microsoft Defender per il cloud | Abilitare l'esportazione nell'hub eventi dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'hub eventi con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.2.0 |
| Distribuire l'esportazione nell'area di lavoro Log Analytics per Microsoft Defender per il cloud dati | Abilitare l'esportazione nell'area di lavoro Log Analytics dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'area di lavoro Log Analytics con le condizioni e l'area di lavoro di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.1.0 |
| Distribuire l'automazione del flusso di lavoro per gli avvisi di Microsoft Defender for Cloud | Abilitare l'automazione degli avvisi di Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire l'automazione del flusso di lavoro per i consigli di Microsoft Defender for Cloud | Abilitare l'automazione delle raccomandazioni Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Distribuire Automazione del flusso di lavoro per la conformità alle normative Microsoft Defender per il cloud | Abilitare l'automazione della conformità alle normative di Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 1.1.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | AuditIfNotExists, Disabled | 2.1.0 |
| Abilitare Microsoft Defender per il cloud nella sottoscrizione | Identifica le sottoscrizioni esistenti che non vengono monitorate da Microsoft Defender per il cloud e le protegge con le funzionalità gratuite di Defender per il cloud. Le sottoscrizioni già monitorate verranno considerate conformi. Per registrare le sottoscrizioni appena create, aprire la scheda conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 1.0.1 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro personalizzata. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite un'area di lavoro personalizzata. | DeployIfNotExists, Disabled | 1.0.0 |
| Abilita il provisioning automatico dell'agente di Log Analytics del Centro sicurezza nelle sottoscrizioni con l'area di lavoro predefinita. | Consente al Centro sicurezza di effettuare il provisioning automatico dell'agente di Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza tramite l'area di lavoro predefinita del Centro sicurezza di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| È consigliabile risolvere i problemi di integrità di Endpoint Protection nei computer | Risolvere i problemi di integrità di Endpoint Protection nelle macchine virtuali per proteggerle dalle minacce e dalle vulnerabilità più recenti. Centro sicurezza di Azure soluzioni di Endpoint Protection supportate sono documentate qui - https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions. La valutazione di Endpoint Protection è documentata qui - https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario installare Endpoint Protection nei computer | Per proteggere i computer da minacce e vulnerabilità, installare una soluzione supportata di Endpoint Protection. | AuditIfNotExists, Disabled | 1.0.0 |
| La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali | Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | AuditIfNotExists, Disabled | 1.0.0 |
| L'estensione configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 1.0.3 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | AuditIfNotExists, Disabled | 3.0.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Audit, Disabled | 1.0.2 |
| L'agente di Log Analytics deve essere installato nelle istanze del ruolo di Servizi cloud (supporto esteso) | Il Centro sicurezza raccoglie i dati dalle istanze del ruolo di Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. | AuditIfNotExists, Disabled | 2.0.0 |
| L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure | Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato | AuditIfNotExists, Disabled | 1.0.0 |
| L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure | Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. | AuditIfNotExists, Disabled | 1.0.0 |
| I computer devono avere risultati segreti risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | AuditIfNotExists, Disabled | 1.0.2 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | AuditIfNotExists, Disabled | 3.0.0 |
| Microsoft Defender CSPM deve essere abilitato | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafico di sicurezza del cloud intelligente per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario abilitare Microsoft Defender per le API | Microsoft Defender per LE API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | AuditIfNotExists, Disabled | 1.0.3 |
| Microsoft Defender per Azure Cosmos DB deve essere abilitato | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Threat Intelligence, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti interni malintenzionati. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per contenitori deve essere abilitato | Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. | AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | AuditIfNotExists, Disabled | 1.0.0 |
| Lo stato di Microsoft Defender per SQL deve essere protetto per SQL Server abilitati per Arc | Microsoft Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL, l'individuazione e la classificazione dei dati sensibili. Dopo l'abilitazione, lo stato di protezione indica che la risorsa viene monitorata attivamente. Anche quando Defender è abilitato, è necessario convalidare più impostazioni di configurazione nell'agente, nel computer, nell'area di lavoro e in SQL Server per garantire la protezione attiva. | Audit, Disabled | 1.0.1 |
| Microsoft Defender per Archiviazione deve essere abilitato | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. | AuditIfNotExists, Disabled | 1.0.0 |
| Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure | I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile selezionare il piano tariffario Standard del Centro sicurezza | Il piano tariffario Standard consente il rilevamento delle minacce per reti e macchine virtuali e fornisce informazioni sulle minacce, rilevamento delle anomalie e analisi del comportamento nel Centro sicurezza di Azure | Audit, Disabled | 1.1.0 |
| Configurare le sottoscrizioni per la transizione a una soluzione di valutazione della vulnerabilità alternativa | Microsoft Defender per cloud offre l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. L'abilitazione di questo criterio causerà la propagazione automatica dei risultati Defender per il cloud dalla soluzione predefinita di Microsoft Defender gestione delle vulnerabilità a tutti i computer supportati. | DeployIfNotExists, Disabled | 1.0.0-preview |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | AuditIfNotExists, Disabled | 4.1.0 |
| Il provisioning automatico di destinazione di SQL Server deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico di Microsoft Monitoring Agent, in quanto tale componente è deprecato. Ulteriori informazioni: https://aka.ms/SQLAMAMigration | AuditIfNotExists, Disabled | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | La valutazione delle vulnerabilità di SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | AuditIfNotExists, Disabled | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | AuditIfNotExists, Disabled | 1.0.1 |
| Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati | Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli aggiornamenti di sistema devono essere installati nelle macchine | Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 4.0.0 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | AuditIfNotExists, Disabled | 3.0.0 |
| Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione | Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
| L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori | Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte | I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti | AuditIfNotExists, Disabled | 3.1.0 |
| Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte | Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. | AuditIfNotExists, Disabled | 3.0.0 |
Centro sicurezza - Prezzi granulari
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare Azure Defender per server da disabilitare per tutte le risorse (livello di risorsa) | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da disabilitare per le risorse (livello di risorsa) con il tag selezionato | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio disabiliterà il piano Defender per server per tutte le risorse (VM, VMSS e computer ARC) con il nome e i valori di tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (sottopiano 'P1' ) per tutte le risorse (livello di risorsa) con il tag selezionato | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) con il nome e i valori dei tag selezionati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Defender per server da abilitare (con sottopiano "P1") per tutte le risorse (livello di risorsa) | Azure Defender per server offre protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni per la protezione avanzata, nonché avvisi sulle attività sospette. Questo criterio abiliterà il piano Defender per server (con sottopiano "P1") per tutte le risorse (VM e computer ARC) nell'ambito selezionato (sottoscrizione o gruppo di risorse). | DeployIfNotExists, Disabled | 1.0.0 |
Bus di servizio
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È consigliabile rimuovere tutte le regole di autorizzazione ad eccezione di RootManageSharedAccessKey dallo spazio dei nomi del bus di servizio | I client del bus di servizio non devono usare un criterio di accesso a livello di spazio dei nomi che assicura l'accesso a tutte le code e gli argomenti in uno spazio dei nomi. Per essere conformi al modello di sicurezza basato su privilegi minimi, è consigliabile creare criteri di accesso a livello di entità per code e argomenti in modo da fornire l'accesso solo all'entità specifica | Audit, Deny, Disabled | 1.0.1 |
| bus di servizio di Azure gli spazi dei nomi devono avere i metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che gli spazi dei nomi bus di servizio di Azure richiedano esclusivamente identità ID Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Audit, Deny, Disabled | 1.0.1 |
| bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi bus di servizio di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che gli spazi dei nomi di Azure ServiceBus richiedano esclusivamente le identità ID di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/disablelocalauth-sb. | Modificare, Disabilitata | 1.0.1 |
| Configurare gli spazi dei nomi bus di servizio per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere bus di servizio spazi dei nomi. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi bus di servizio con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| I log delle risorse in bus di servizio devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| bus di servizio Spazi dei nomi deve disabilitare l'accesso alla rete pubblica | bus di servizio di Azure deve avere l'accesso alla rete pubblica disabilitato. La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile limitare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Audit, Deny, Disabled | 1.1.0 |
| bus di servizio gli spazi dei nomi devono avere la doppia crittografia abilitata | L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. | Audit, Deny, Disabled | 1.0.0 |
| bus di servizio gli spazi dei nomi Premium devono usare una chiave gestita dal cliente per la crittografia | bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che bus di servizio useranno per crittografare i dati nello spazio dei nomi. Si noti che bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. | Audit, Disabled | 1.0.0 |
Service Fabric
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign | Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Audit, Deny, Disabled | 1.1.0 |
| I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client | Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric | Audit, Deny, Disabled | 1.1.0 |
SignalR
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Servizio Azure SignalR disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza della risorsa Servizio Azure SignalR, assicurarsi che non sia esposta a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/asrs/networkacls. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.1.0 |
| Servizio Azure SignalR devono abilitare i log di diagnostica | Controlla l'abilitazione dei log di diagnostica consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Servizio Azure SignalR devono essere disabilitati i metodi di autenticazione locale | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Servizio Azure SignalR richieda esclusivamente identità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Servizio Azure SignalR deve usare uno SKU abilitato per collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione che proteggono le risorse da rischi di perdita di dati pubblici. I criteri limitano collegamento privato SKU abilitati per Servizio Azure SignalR. Per altre informazioni sul collegamento privato, vedere: https://aka.ms/asrs/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Azure SignalR deve usare collegamenti privati | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. | Audit, Disabled | 1.0.0 |
| Configurare Servizio Azure SignalR per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che il Servizio Azure SignalR richieda esclusivamente le identità di Azure Active Directory per l'autenticazione. | Modificare, Disabilitata | 1.0.0 |
| Configurare gli endpoint privati per Servizio Azure SignalR | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse Servizio Azure SignalR, è possibile ridurre i rischi di perdita dei dati. Per ulteriori informazioni, vedi https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare le zone DNS private per gli endpoint privati che si connettono a Servizio Azure SignalR | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Servizio Azure SignalR risorsa. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Modificare Servizio Azure SignalR risorse per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza della risorsa Servizio Azure SignalR, assicurarsi che non sia esposta a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/asrs/networkacls. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modificare, Disabilitata | 1.1.0 |
Site Recovery
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per la risoluzione in Insiemi di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare endpoint privati in insiemi di credenziali di Servizi di ripristino di Azure | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle risorse di site recovery degli insiemi di credenziali di Servizi di ripristino, è possibile ridurre i rischi di perdita dei dati. Per usare collegamenti privati, l'identità del servizio gestito deve essere assegnata agli insiemi di credenziali di Servizi di ripristino. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Gli insiemi di credenziali di Servizi di ripristino devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli insiemi di credenziali di Servizi di ripristino di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati per Azure Site Recovery sono disponibili in: https://aka.ms/HybridScenarios-PrivateLink e https://aka.ms/AzureToAzure-PrivateLink. | Audit, Disabled | 1.0.0-preview |
SQL
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server MySQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server MySQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.1.1 |
| È necessario effettuare il provisioning di un amministratore di Microsoft Entra per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione di Microsoft Entra. L'autenticazione di Microsoft Entra consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL | Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft | AuditIfNotExists, Disabled | 1.0.0 |
| È consigliabile abilitare il controllo in SQL Server | Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. | AuditIfNotExists, Disabled | 2.0.0 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per le Istanze gestite di SQL non protette | Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. | AuditIfNotExists, Disabled | 1.0.2 |
| Per il server flessibile di Azure MySQL deve essere abilitata l'autenticazione solo Entra di Microsoft | La disabilitazione dei metodi di autenticazione locale e la possibilità di consentire solo l'autenticazione di Microsoft Entra migliora la sicurezza assicurando che il server flessibile di Azure MySQL possa accedere esclusivamente alle identità di Microsoft Entra. | AuditIfNotExists, Disabled | 1.0.1 |
| Il database SQL di Azure deve eseguire TLS versione 1.2 o successiva | Impostando la versione di TLS su 1.2 o successive, è possibile migliorare la sicurezza e garantire che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versioni successive. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled, Deny | 2.0.0 |
| Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere ai server logici Azure SQL di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Il database SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere la creazione di server logici Azure SQL con l'autenticazione solo su Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| L’Istanza gestita di SQL di Azure deve avere l'autenticazione solo Microsoft Entra abilitata | Richiedere all'Istanza gestita di SQL di Azure di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione di istanze gestite di SQL di Azure con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.0.0 |
| Le Istanze gestite di SQL di Azure devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Istanze gestite di SQL di Azure migliora la sicurezza assicurando che sia accessibile solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sull'accesso alla rete pubblica, visitare https://aka.ms/mi-public-endpoint. | Audit, Deny, Disabled | 1.0.0 |
| Le Istanze gestite di SQL di Azure devono avere l'autenticazione solo Microsoft Entra abilitata | Richiedere la creazione dell'Istanza gestita di SQL di Azure con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Audit, Deny, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server di database di Azure per MariaDB | Abilitare Advanced Threat Protection nei server di Azure di livello non Basic per MariaDB per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server di Database di Azure per MySQL | Abilitare Advanced Threat Protection nei server di Azure di livello non Basic per MySQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Advanced Threat Protection per l'abilitazione nei server di Database di Azure per PostgreSQL | Abilitare Advanced Threat Protection nei server di Azure di livello non Basic per PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare Azure Defender affinché sia abilitato nelle Istanze gestite di SQL | Abilitare Azure Defender sulle Istanze gestite di SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare Azure Defender affinché sia abilitato sui server SQL | Abilitare Azure Defender sui Server SQL di Azure per rilevare le attività anomale che possono indicare tentativi insoliti e potenzialmente dannosi di accesso o exploit dei database. | DeployIfNotExists | 2.1.0 |
| Configurare le impostazioni di diagnostica per i server di database SQL di Azure nell'area di lavoro Log Analytics | Abilitare i log di controllo per i server di database SQL di Azure e trasmettere i log a un'area di lavoro Log Analytics quando viene creato o aggiornato uno dei server SQL mancanti | DeployIfNotExists, Disabled | 1.0.2 |
| Configurare Azure SQL Server per disabilitare l'accesso alla rete pubblica | La disabilitazione della proprietà di accesso alla rete pubblica arresta la connettività pubblica in modo che sia possibile accedere a SQL Server di Azure solo da un endpoint privato. Questa configurazione disabilita l'accesso alla rete pubblica per tutti i database in Azure SQL Server. | Modificare, Disabilitata | 1.0.0 |
| Configurare Azure SQL Server per abilitare le connessioni dell'endpoint privato | Una connessione all'endpoint privato consente la connettività privata al database SQL di Azure tramite un indirizzo IP privato all'interno di una rete virtuale. Questa configurazione migliora la postura di sicurezza e supporta gli strumenti e gli scenari di rete di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i server SQL per l'abilitazione del controllo | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 3.0.0 |
| Configurare i server SQL per l'abilitazione del controllo all'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, è necessario che i server SQL abbiano il controllo abilitato. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
| La limitazione delle connessioni per i server di database PostgreSQL deve essere abilitata | Questo criterio consente di controllare gli eventuali database PostgreSQL per cui non è abilitata la limitazione delle connessioni nell'ambiente corrente. Questa impostazione abilita la limitazione delle connessioni temporanea per indirizzo IP nel caso di un numero eccessivo di errori di accesso con password non valida. | AuditIfNotExists, Disabled | 1.0.0 |
| Distribuisci - Configurare le impostazioni di diagnostica per i database SQL nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i database SQL per lo streaming di log di risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un database SQL in cui manca questa impostazione di diagnostica. | DeployIfNotExists, Disabled | 4.0.0 |
| Distribuisci Sicurezza dei dati avanzata nei server SQL | Questo criterio abilita Sicurezza dei dati avanzata nei server SQL. Include l'attivazione del rilevamento delle minacce e della valutazione delle vulnerabilità. Verrà creato automaticamente un account di archiviazione nella stessa area e nello stesso gruppo di risorse del server SQL per archiviare i risultati dell'analisi, con prefisso 'sqlva'. | DeployIfNotExists | 1.3.0 |
| Distribuisci le impostazioni di diagnostica per il database SQL di Azure nell'hub eventi | Distribuisce le impostazioni di diagnostica per il database SQL di Azure per lo streaming in un hub eventi a livello di area quando viene creato o aggiornato un database SQL di Azure in cui manca questa impostazione di diagnostica. | DeployIfNotExists | 1.2.0 |
| Distribuisci Transparent Data Encryption nel database SQL | Abilita Transparent Data Encryption nei database SQL | DeployIfNotExists, Disabled | 2.2.0 |
| L'impostazione di registrazione delle disconnessioni deve essere abilitata per i server di database PostgreSQL. | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_disconnections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB | Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL | Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL | Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Audit, Disabled | 1.0.1 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. | Audit, Deny, Disabled | 1.0.0 |
| La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL | Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 | Audit, Deny, Disabled | 1.0.0 |
| L'impostazione di registrazione dei punti di controllo deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_checkpoints non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione delle connessioni deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_connections non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| L'impostazione di registrazione della durata deve essere abilitata per i server di database PostgreSQL | Questo criterio consente di controllare i database PostgreSQL nell'ambiente corrente in cui l'impostazione log_duration non è abilitata. | AuditIfNotExists, Disabled | 1.0.0 |
| Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure | Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. | AuditIfNotExists, Disabled | 2.0.0 |
| I server MariaDB devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MariaDB, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MariaDB dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server MySQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per MySQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per MySQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| I server PostgreSQL devono usare un endpoint servizio di rete virtuale | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database di Azure per PostgreSQL, garantendo al contempo che il traffico rimanga entro il limite di Azure. Questo criterio consente di controllare se il database di Azure per PostgreSQL dispone di un endpoint servizio di rete virtuale. | AuditIfNotExists, Disabled | 1.0.2 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | AuditIfNotExists, Disabled | 1.0.4 |
| Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate | Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. | Audit, Disabled | 1.1.0 |
| L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. | AuditIfNotExists, Disabled | 1.0.2 |
| L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 1.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili MySQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server flessibili PostgreSQL | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che ai server flessibili di Database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 3.0.1 |
| L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Audit, Deny, Disabled | 2.0.1 |
| Le impostazioni di controllo SQL devono avere gruppi di azione configurati per acquisire attività critiche | La proprietà AuditActionsAndGroups deve contenere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP per garantire una registrazione di controllo accurata | AuditIfNotExists, Disabled | 1.0.0 |
| I database SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | I database devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
| Per l'Istanza gestita di SQL la versione minima TLS deve essere impostata su 1.2 | Impostando la versione minima di TLS su 1.2 è possibile migliorare la sicurezza e garantire che l'Istanza gestita di SQL sia accessibile solo dai client che usano TLS 1.2. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Disabled | 1.0.1 |
| Le istanze gestite di SQL devono evitare di usare l'archiviazione con ridondanza geografica per il backup | Le istanze gestite devono evitare di usare l'archiviazione con ridondanza geografica per i backup se le regole di residenza dei dati richiedono che i dati rimangano all'interno di un'area specifica. Nota: i Criteri di Azure non vengono applicati quando si crea un database con T-SQL. Se non esplicitamente specificato, i database con archiviazione di backup con ridondanza geografica vengono creati tramite T-SQL. | Deny, Disabled | 2.0.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Audit, Deny, Disabled | 2.0.1 |
| I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 3.0.0 |
| È consigliabile abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | AuditIfNotExists, Disabled | 2.0.0 |
| La regola del firewall basata su rete virtuale nel database SQL di Azure deve essere abilitata per consentire il traffico dalla subnet specificata | Le regole del firewall basate su rete virtuale vengono usate per abilitare il traffico da una subnet specifica al database SQL di Azure, garantendo al contempo che il traffico rimanga entro il limite di Azure. | AuditIfNotExists | 1.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL | Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare i server di Azure SQL in cui non è stata configurata adeguatamente la valutazione della vulnerabilità. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | AuditIfNotExists, Disabled | 3.0.0 |
Istanza gestita di SQL
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| La crittografia della chiave gestita dal cliente deve essere usata come parte della crittografia della chiave gestita dal cliente per le istanze gestite di ARC SQL. | Come parte della crittografia della chiave gestita dal cliente, è necessario usare la crittografia della chiave gestita dal cliente. Per ulteriori informazioni, vedi https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
| Il protocollo TLS 1.2 deve essere usato per le istanze gestite di SQL Arc. | Come parte delle impostazioni di rete, Microsoft consiglia di consentire solo TLS 1.2 per i protocolli TLS in SQL Server. Per altre informazioni sulle impostazioni di rete per SQL Server, vedere https://aka.ms/TlsSettingsSQLServer. | Audit, Disabled | 1.0.0 |
| Transparent Data Encryption deve essere abilitato per le istanze gestite di Arc SQL. | Abilitare Transparent Data Encryption (TDE) inattivi in un Istanza gestita di SQL abilitato per Azure Arc. Per ulteriori informazioni, vedi https://aka.ms/EnableTDEArcSQLMI. | Audit, Disabled | 1.0.0 |
SQL Server
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Abilitare l'identità assegnata dal sistema alla macchina virtuale SQL | Abilitare l'identità assegnata dal sistema su larga scala alle macchine virtuali SQL. È necessario assegnare questo criterio a livello di sottoscrizione. L'assegnazione a livello di gruppo di risorse non funzionerà come previsto. | DeployIfNotExists, Disabled | 1.0.0-preview |
| Configurare i server abilitati per Arc con l'estensione SQL Server installata per abilitare o disabilitare la valutazione delle procedure consigliate per SQL. | Abilitare o disabilitare la valutazione delle procedure consigliate SQL nelle istanze di SQL Server nei server abilitati per Arc per valutare le procedure consigliate. Per ulteriori informazioni, vedi https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, Disabled | 1.0.1 |
| Sottoscrivere le istanze di SQL Server abilitate per Arc idonee ai Aggiornamenti di sicurezza estesa. | Sottoscrivere istanze di SQL Server abilitate per Arc idonee con tipo di licenza impostata su Pagamento o pagamento in base al consumo per la sicurezza estesa Aggiornamenti. Altre informazioni sugli aggiornamenti https://go.microsoft.com/fwlink/?linkid=2239401della sicurezza estesi. | DeployIfNotExists, Disabled | 1.0.0 |
Stack HCI
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I server Azure Stack HCI devono avere criteri di controllo delle applicazioni applicati in modo coerente | Applicare almeno il criterio di base Microsoft WDAC in modalità applicata in tutti i server Azure Stack HCI. I criteri windows Defender Application Control (WDAC) applicati devono essere coerenti tra server nello stesso cluster. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: I server Azure Stack HCI devono soddisfare i requisiti di base protetti | Assicurarsi che tutti i server Azure Stack HCI soddisfino i requisiti di base protetti. Per abilitare i requisiti del server protetto-core: 1. Nella pagina Cluster Azure Stack HCI passare a Windows Amministrazione Center e selezionare Connessione. 2. Passare all'estensione Sicurezza e selezionare Protetto-core. 3. Selezionare qualsiasi impostazione non abilitata e fare clic su Abilita. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: I sistemi Azure Stack HCI devono avere volumi crittografati | Usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi Azure Stack HCI. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
| [Anteprima]: La rete host e vm deve essere protetta nei sistemi Azure Stack HCI | Proteggere i dati nella rete host di Azure Stack HCI e nelle connessioni di rete delle macchine virtuali. | Audit, Disabled, AuditIfNotExists | 1.0.0-preview |
Storage
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.0-preview |
| Sincronizzazione file di Azure deve usare il collegamento privato | La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. | AuditIfNotExists, Disabled | 1.0.0 |
| I volumi SMB di Azure NetApp Files devono usare la crittografia SMB3 | Non consentire la creazione di volumi SMB senza crittografia SMB3 per garantire l'integrità dei dati e la privacy dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files di tipo NFSv4.1 devono usare la crittografia dei dati Kerberos | Consentire solo l'uso della modalità di sicurezza Kerberos privacy (5p) per garantire che i dati siano crittografati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files di tipo NFSv4.1 devono usare l'integrità dei dati Kerberos o la privacy dei dati | Assicurarsi che sia selezionata almeno l'integrità Kerberos (krb5i) o la privacy Kerberos (krb5p) per garantire l'integrità dei dati e la privacy dei dati. | Audit, Deny, Disabled | 1.0.0 |
| I volumi di Azure NetApp Files non devono usare il tipo di protocollo NFSv3 | Non consentire l'uso del tipo di protocollo NFSv3 per impedire l'accesso non sicuro ai volumi. NFSv4.1 con protocollo Kerberos deve essere usato per accedere ai volumi NFS per garantire l'integrità e la crittografia dei dati. | Audit, Deny, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo BLOB | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID BLOB. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per blob_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID blob_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per dfs groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per dfs_secondary groupID | Configurare il gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID dfs_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo di file | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di file groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per il groupID della coda | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID della coda. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per queue_secondary groupID | Configurare il gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID queue_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo di tabelle | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID di tabella. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per table_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID table_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo Web | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID Web. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per web_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID web_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Sincronizzazione file di Azure per l'uso di zone DNS private | Per accedere agli endpoint privati per Archiviazione interfacce di risorse del servizio di sincronizzazione da un server registrato, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record azure DNS privato zona e A necessari per le interfacce degli endpoint privati del servizio di sincronizzazione Archiviazione. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare Sincronizzazione file di Azure con endpoint privati | Viene distribuito un endpoint privato per la risorsa del servizio di sincronizzazione Archiviazione indicata. In questo modo è possibile indirizzare la risorsa del servizio di sincronizzazione Archiviazione dallo spazio di indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. L'esistenza di uno o più endpoint privati da soli non disabilita l'endpoint pubblico. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le impostazioni di diagnostica per Servizi BLOB nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi BLOB per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio BLOB che non contiene queste impostazioni di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurare le impostazioni di diagnostica per Servizi file nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Servizi file per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato qualsiasi servizio file che non contiene queste impostazioni di diagnostica. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurare le impostazioni di diagnostica per i servizi di accodamento nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per i servizi di accodamento per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio di accodamento mancante. Nota: questo criterio non viene attivato al momento della creazione dell'account Archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurare le impostazioni di diagnostica per gli account Archiviazione nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per gli account Archiviazione per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando vengono creati o aggiornati gli account di archiviazione mancanti. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
| Configurare le impostazioni di diagnostica per Servizi tabelle nell'area di lavoro Log Analytics | Distribuisce le impostazioni di diagnostica per Servizi tabelle per trasmettere i log delle risorse a un'area di lavoro Log Analytics quando viene creato o aggiornato un servizio tabelle che non contiene queste impostazioni di diagnostica. Nota: questo criterio non viene attivato al momento della creazione dell'account Archiviazione e richiede la creazione di un'attività di correzione per aggiornare l'account. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
| Configurare il trasferimento sicuro dei dati in un account di archiviazione | Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare le richieste solo da connessioni sicure (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Modificare, Disabilitata | 1.0.0 |
| Configurare Archiviazione account per l'uso di una connessione di collegamento privato | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati all'account di archiviazione, è possibile ridurre i rischi di perdita dei dati. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account di archiviazione per disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Archiviazione, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Modificare, Disabilitata | 1.0.1 |
| Configurare l'accesso pubblico dell'account Archiviazione in modo che non sia consentito | L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. | Modificare, Disabilitata | 1.0.0 |
| Configurare l'account Archiviazione per abilitare il controllo delle versioni DEI BLOB | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. | Audit, Deny, Disabled | 1.0.0 |
| Distribuire Defender per Archiviazione (versione classica) sugli account di archiviazione | Questo criterio abilita Defender per Archiviazione (versione classica) sugli account di archiviazione. | DeployIfNotExists, Disabled | 1.0.1 |
| L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione | Usare la ridondanza geografica per creare applicazioni a disponibilità elevata | Audit, Disabled | 1.0.0 |
| Cache HPC account devono usare la chiave gestita dal cliente per la crittografia | Gestire la crittografia dei dati inattivi di Azure Cache HPC con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | Audit, Disabled, Deny | 2.0.0 |
| Modifica - Configurare Sincronizzazione file di Azure per disabilitare l'accesso alla rete pubblica | L'endpoint pubblico accessibile da Internet del Sincronizzazione file di Azure è disabilitato dai criteri dell'organizzazione. È comunque possibile accedere al servizio di sincronizzazione Archiviazione tramite gli endpoint privati. | Modificare, Disabilitata | 1.0.0 |
| Modifica: configurare l'account Archiviazione per abilitare il controllo delle versioni blob | È possibile abilitare il controllo delle versioni di archiviazione BLOB per mantenere automaticamente le versioni precedenti di un oggetto. Quando il controllo delle versioni dei BLOB è abilitato, è possibile accedere alle versioni precedenti di un BLOB per recuperare i dati che sono stati modificati o eliminati. Si noti che gli account di archiviazione esistenti non verranno modificati per abilitare il controllo delle versioni dell'archiviazione BLOB. Solo gli account di archiviazione appena creati avranno il controllo delle versioni dell'archiviazione BLOB abilitato | Modificare, Disabilitata | 1.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per Sincronizzazione file di Azure | La disabilitazione dell'endpoint pubblico consente di limitare l'accesso alla risorsa del servizio di sincronizzazione Archiviazione alle richieste destinate a endpoint privati approvati nella rete dell'organizzazione. Non c'è nulla di intrinsecamente insicuro per consentire le richieste all'endpoint pubblico, tuttavia, è possibile disabilitarlo per soddisfare i requisiti normativi, legali o dei criteri dell'organizzazione. È possibile disabilitare l'endpoint pubblico per un servizio di sincronizzazione Archiviazione impostando incomingTrafficPolicy della risorsa su AllowVirtualNetworksOnly. | Audit, Deny, Disabled | 1.0.0 |
| La coda Archiviazione deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'archiviazione code con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Deny, Disabled | 1.0.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Audit, Deny, Disabled | 2.0.0 |
| Archiviazione ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli ambiti di crittografia dell'account devono usare la doppia crittografia per i dati inattivi | Abilitare la crittografia dell'infrastruttura per la crittografia dei dati inattivi degli ambiti di crittografia dell'account di archiviazione per una maggiore sicurezza. La crittografia dell'infrastruttura garantisce che i dati vengano crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione le chiavi dell'account non devono essere scadute | Assicurarsi che le chiavi dell'account di archiviazione utente non siano scadute quando vengono impostati i criteri di scadenza della chiave, per migliorare la sicurezza delle chiavi dell'account eseguendo un'azione quando le chiavi sono scadute. | Audit, Deny, Disabled | 3.0.0 |
| Gli account di archiviazione devono consentire l'accesso da servizi Microsoft attendibili | Alcuni servizi Microsoft che interagiscono con gli account di archiviazione vengono eseguiti da reti alle quali non è possibile concedere l'accesso tramite le regole di rete. Per far sì che questo tipo di servizi funzioni come previsto, consentire al set di servizi Microsoft attendibili di ignorare le regole di rete. Questi servizi usano quindi l'autenticazione avanzata per accedere all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono essere limitati da SKU consentiti | Limitare il set di SKU dell'account di archiviazione che l'organizzazione può distribuire. | Audit, Deny, Disabled | 1.1.0 |
| È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager | È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono disabilitare l'accesso alla rete pubblica | Per migliorare la sicurezza degli account di Archiviazione, assicurarsi che non siano esposti a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://aka.ms/storageaccountpublicnetworkaccess. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. | Audit, Deny, Disabled | 1.0.1 |
| È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione | Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono avere criteri di firma di accesso condiviso configurati | Verificare che gli account di archiviazione dispongano di criteri di scadenza della firma di accesso condiviso (SAS) abilitati. Gli utenti usano una firma di accesso condiviso per delegare l'accesso alle risorse in Archiviazione di Azure account. I criteri di scadenza della firma di accesso condiviso consigliano un limite di scadenza superiore quando un utente crea un token di firma di accesso condiviso. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono avere la versione minima di TLS specificata | Configurare una versione minima di TLS per la comunicazione sicura tra l'applicazione client e l'account di archiviazione. Per ridurre al minimo il rischio di sicurezza, la versione minima di TLS consigliata è la versione più recente rilasciata, attualmente TLS 1.2. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono impedire la replica tra oggetti tenant | Controlla la restrizione della replica degli oggetti per l'account di archiviazione. Per impostazione predefinita, gli utenti possono configurare la replica di oggetti con un account di archiviazione di origine in un tenant di Azure AD e un account di destinazione in un tenant diverso. Si tratta di un problema di sicurezza perché i dati del cliente possono essere replicati in un account di archiviazione di proprietà del cliente. Impostando allowCrossTenantReplication su false, la replica degli oggetti può essere configurata solo se gli account di origine e di destinazione si trovano nello stesso tenant di Azure AD. | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione gli account devono impedire l'accesso con chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con le credenziali di Azure Active Directory o usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Tra questi due tipi di autorizzazione, Azure AD fornisce una sicurezza superiore ed è più facile da usare rispetto a Chiave condivisa ed è consigliato da Microsoft. | Audit, Deny, Disabled | 2.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Audit, Deny, Disabled | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Audit, Deny, Disabled | 1.0.1 |
| Archiviazione account devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Disabled | 1.0.3 |
| Archiviazione gli account devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, Disabled | 2.0.0 |
| La tabella Archiviazione deve usare la chiave gestita dal cliente per la crittografia | Proteggere l'archiviazione tabelle con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. | Audit, Deny, Disabled | 1.0.0 |
Analisi di flusso
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati | Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 5.0.0 |
| Il processo di Analisi di flusso deve connettersi a input e output attendibili | Assicurarsi che i processi di Analisi di flusso non dispongano di connessioni arbitrarie di input o output non definite nell'elenco elementi consentiti. In questo modo, i processi di Analisi di flusso non esfiltrano i dati connettendosi a sink arbitrari all'esterno dell'organizzazione. | Deny, Disabled, Audit | 1.1.0 |
| Il processo di Analisi di flusso deve usare l'identità gestita per autenticare gli endpoint | Assicurarsi che i processi di Analisi di flusso si connettano solo agli endpoint usando l'autenticazione dell'identità gestita. | Deny, Disabled, Audit | 1.0.0 |
Synapse
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il controllo nell'area di lavoro di Synapse deve essere abilitato | Il controllo nell'area di lavoro di Synapse deve essere abilitato per tenere traccia delle attività del database in tutti i database nei pool SQL dedicati e salvarli in un log di controllo. | AuditIfNotExists, Disabled | 1.0.0 |
| I pool SQL dedicati di Azure Synapse Analytics devono abilitare la crittografia | Abilitare Transparent Data Encryption per i pool SQL dedicati di Azure Synapse Analytics per proteggere i dati inattivi e soddisfare i requisiti di conformità. Si noti che l'abilitazione di Transparent Data Encryption per il pool può influire sulle prestazioni delle query. Altri dettagli possono fare riferimento a https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, Disabled | 1.0.0 |
| Sql Server dell'area di lavoro di Azure Synapse deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che il server SQL dell'area di lavoro di Azure Synapse sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Audit, Deny, Disabled | 1.1.0 |
| Le aree di lavoro di Azure Synapse devono consentire il traffico dei dati in uscita solo alle destinazioni approvate | Aumentare la sicurezza dell'area di lavoro synapse consentendo il traffico dei dati in uscita solo alle destinazioni approvate. Ciò consente di prevenire l'esfiltrazione dei dati convalidando la destinazione prima di inviare dati. | Audit, Disabled, Deny | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Azure Synapse devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Audit, Disabled | 1.0.1 |
| Configurare la versione minima DI TLS per l'area di lavoro di Azure Synapse | I clienti possono generare o ridurre la versione minima di TLS usando l'API, sia per le nuove aree di lavoro di Synapse che per le aree di lavoro esistenti. Gli utenti che devono usare una versione client inferiore nelle aree di lavoro possono quindi connettersi mentre gli utenti con requisiti di sicurezza possono aumentare la versione minima di TLS. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificare, Disabilitata | 1.1.0 |
| Configurare le aree di lavoro di Azure Synapse per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per l'area di lavoro di Synapse in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Azure Synapse per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'area di lavoro di Azure Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le aree di lavoro di Azure Synapse con endpoint privati | Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Synapse, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Ciò è talvolta necessario per la conformità agli standard normativi. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato per l'area di lavoro Log Analytics | Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione | Richiedere e riconfigurare le aree di lavoro di Synapse per l'uso dell'autenticazione solo Entra-only di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale e la riattivazione dell'autenticazione solo Entra-only per le risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modificare, Disabilitata | 1.0.0 |
| Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere e riconfigurare le aree di lavoro di Synapse da creare con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Modificare, Disabilitata | 1.2.0 |
| Le regole del firewall IP nelle aree di lavoro Azure Synapse devono essere rimosse | La rimozione di tutte le regole del firewall IP migliora la sicurezza, in quanto garantisce che all'area di lavoro di Azure Synapse sia possibile accedere solo da un endpoint privato. Questa configurazione controlla la creazione di regole del firewall che consentono l'accesso alla rete pubblica nell'area di lavoro. | Audit, Disabled | 1.0.0 |
| La rete virtuale dell'area di lavoro gestita deve essere abilitata nelle aree di lavoro Azure Synapse | L'abilitazione di una rete virtuale dell'area di lavoro gestita garantisce che l'area di lavoro sia isolata da altre aree di lavoro in rete. L'integrazione dei dati e le risorse di Spark distribuite in questa rete virtuale fornisce anche l'isolamento a livello di utente per le attività di Spark. | Audit, Deny, Disabled | 1.0.0 |
| Gli endpoint privati gestiti da Synapse devono connettersi solo alle risorse nei tenant di Azure Active Directory approvati | Protegge l'area di lavoro Synapse consentendo solo connessioni alle risorse nei tenant di Azure Active Directory (Azure AD) approvati. I tenant di Azure AD approvati possono essere definiti durante l'assegnazione dei criteri. | Audit, Disabled, Deny | 1.0.0 |
| Le impostazioni di controllo dell'area di lavoro synapse devono avere gruppi di azioni configurati per acquisire attività critiche | Per assicurarsi che i log di controllo siano il più accurato possibile, la proprietà AuditActionsAndGroups deve includere tutti i gruppi pertinenti. È consigliabile aggiungere almeno SUCCESSFUL_DATABA edizione Standard_AUTHENTICATION_GROUP, FAILED_DATABA edizione Standard_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 1.0.0 |
| Per le aree di lavoro di Synapse deve essere abilitata l'autenticazione solo Entra di Microsoft | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.0.0 |
| Le aree di lavoro di Synapse devono usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. | Audit, Deny, Disabled | 1.2.0 |
| Le aree di lavoro di Synapse con il controllo SQL nella destinazione dell'account di archiviazione devono essere configurate con conservazione di 90 giorni o superiore | Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo SQL dell'area di lavoro di Synapse sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | AuditIfNotExists, Disabled | 2.0.0 |
| La valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro di Synapse | Individuare, tenere traccia e correggere le potenziali vulnerabilità configurando analisi ricorrenti della valutazione delle vulnerabilità DI SQL nelle aree di lavoro di Synapse. | AuditIfNotExists, Disabled | 1.0.0 |
Criteri di sistema
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aree di distribuzione delle risorse consentite | Questo criterio gestisce un set di aree disponibili migliori in cui la sottoscrizione può distribuire le risorse. L'obiettivo di questo criterio è garantire che la sottoscrizione abbia accesso completo ai servizi di Azure con prestazioni ottimali. Se sono necessarie aree aggiuntive o diverse, contattare il supporto tecnico. | rifiutare | 1.0.0 |
Tag
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Aggiungi un tag ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Aggiungi un tag alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add a tag to subscriptions (Aggiungi un tag alle sottoscrizioni) | Aggiunge il tag e il valore specificati alle sottoscrizioni tramite un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nei gruppi di risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Aggiungi o sostituisci un tag nelle risorse | Aggiunge o sostituisce il tag e il valore specificati quando viene creata o aggiornata una risorsa. È possibile correggere le risorse esistenti attivando un'attività di correzione. Questa operazione non modifica i tag nei gruppi di risorse. | modify | 1.0.0 |
| Add or replace a tag on subscriptions (Aggiungi o sostituisci un tag nelle sottoscrizioni) | Aggiunge o sostituisce il tag e il valore specificati nelle sottoscrizioni tramite un'attività di correzione. È possibile correggere i gruppi di risorse esistenti attivando un'attività di correzione. Per altre informazioni sulla correzione dei criteri, vedere https://aka.ms/azurepolicyremediation. | modify | 1.0.0 |
| Aggiungi tag e relativo valore dal gruppo di risorse | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore predefinito ai gruppi di risorse | Aggiunge il tag e il valore specificati quando viene creato o aggiornato un gruppo di risorse in cui manca questo tag. Non modifica i tag dei gruppi di risorse creati prima dell'applicazione di questo criterio finché tali gruppi di risorse non vengono modificati. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.0 |
| Aggiungi tag e relativo valore alle risorse | Aggiunge il tag e il valore specificati quando viene creata o aggiornata una risorsa in cui manca questo tag. Non modifica i tag delle risorse create prima dell'applicazione di questo criterio finché tali risorse non vengono modificate. Non si applica ai gruppi di risorse. Sono disponibili nuovi criteri dell'effetto 'modify' che supportano la correzione dei tag nelle risorse esistenti (vedere https://aka.ms/modifydoc). | append | 1.0.1 |
| Eredita un tag dal gruppo di risorse | Aggiunge o sostituisce il tag e il valore specificati del gruppo di risorse padre quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dal gruppo di risorse se mancante | Aggiunge il tag specificato con il relativo valore dal gruppo di risorse padre quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione | Aggiunge o sostituisce il tag e il valore specificati della sottoscrizione che li contiene quando una risorsa viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. | modify | 1.0.0 |
| Eredita un tag dalla sottoscrizione se mancante | Aggiunge il tag specificato con il relativo valore della sottoscrizione che li contiene quando una risorsa in cui manca questo tag viene creata o aggiornata. È possibile correggere le risorse esistenti attivando un'attività di correzione. Se il tag esiste con un valore diverso, non verrà modificato. | modify | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Impone un tag obbligatorio con il relativo valore ai gruppi di risorse. | rifiutare | 1.0.0 |
| Richiedi tag e relativo valore per i gruppi di risorse | Applica un tag obbligatorio e il relativo valore. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
| Richiedi tag sui gruppi di risorse | Impone l'esistenza di un tag sui gruppi di risorse. | rifiutare | 1.0.0 |
| Richiedi tag sulle risorse | Impone l'esistenza di un tag. Non si applica ai gruppi di risorse. | rifiutare | 1.0.1 |
| Richiede che le risorse non abbiano un tag specifico. | Nega la creazione di una risorsa che contiene il tag specificato. Non si applica ai gruppi di risorse. | Audit, Deny, Disabled | 2.0.0 |
Avvio attendibile
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I dischi e l'immagine del sistema operativo devono supportare TrustedLaunch | TrustedLaunch migliora la sicurezza di una macchina virtuale che richiede il supporto dell'immagine del disco del sistema operativo (Gen 2). Per altre informazioni su TrustedLaunch, visitare https://aka.ms/trustedlaunch | Audit, Disabled | 1.0.0 |
| Per la macchina virtuale deve essere abilitato TrustedLaunch | Abilitare TrustedLaunch nella macchina virtuale per una sicurezza avanzata, usare lo SKU della macchina virtuale (Gen 2) che supporta TrustedLaunch. Per altre informazioni su TrustedLaunch, visitare https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Audit, Disabled | 1.0.0 |
VirtualEnclaves
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Configurare Archiviazione Account per limitare l'accesso alla rete solo tramite la configurazione di bypass ACL di rete. | Per migliorare la sicurezza degli account di Archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Modificare, Disabilitata | 1.0.0 |
| Non consentire la creazione di tipi di risorse all'esterno dell'elenco elementi consentiti | Questo criterio impedisce la distribuzione di tipi di risorse al di fuori dei tipi consentiti in modo esplicito, per mantenere la sicurezza in un enclave virtuale. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Non consentire la creazione di tipi o tipi di risorse specificati in provider specifici | I provider di risorse e i tipi specificati tramite l'elenco di parametri non possono essere creati senza l'approvazione esplicita del team di sicurezza. Se all'assegnazione dei criteri viene concessa un'esenzione, la risorsa può essere accolta all'interno dell'enclave. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono essere connesse a una subnet approvata della rete virtuale approvata | Questo criterio impedisce alle interfacce di rete di connettersi a una rete virtuale o a una subnet non approvata. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Archiviazione Gli account devono limitare l'accesso di rete solo tramite la configurazione di bypass ACL di rete. | Per migliorare la sicurezza degli account di Archiviazione, abilitare l'accesso solo tramite bypass ACL di rete. Questo criterio deve essere usato in combinazione con un endpoint privato per l'accesso all'account di archiviazione. | Audit, Deny, Disabled | 1.0.0 |
Generatore di immagini della macchina virtuale
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Web PubSub
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| Il servizio Web PubSub di Azure deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Web PubSub di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione del servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/networkacls. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve abilitare i log di diagnostica | Controlla l'abilitazione dei log di diagnostica consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | AuditIfNotExists, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve avere metodi di autenticazione locale disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che il servizio Web PubSub di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve usare uno SKU che supporta un collegamento privato | Con lo SKU supportato, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Deny, Disabled | 1.0.0 |
| Il servizio Web PubSub di Azure deve usare un collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | Audit, Disabled | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per disabilitare l'autenticazione locale | Disabilitare i metodi di autenticazione locale in modo che il servizio Web PubSub di Azure richieda esclusivamente identità di Azure Active Directory per l'autenticazione. | Modificare, Disabilitata | 1.0.0 |
| Configurare il servizio Web PubSub di Azure per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per la risorsa PubSub Web di Azure in modo che non sia accessibile tramite la rete Internet pubblica. Ciò può ridurre i rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/awps/networkacls. | Modificare, Disabilitata | 1.0.0 |
| Configurare il servizio Web pubSub di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il servizio Web PubSub di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.