Dettagli dell'iniziativa predefinita NIST SP 800-53 Rev. 5 Regulatory Compliance

L'articolo seguente illustra in dettaglio il mapping della definizione dell'iniziativa predefinita Criteri di Azure conformità alle normative ai domini di conformità e ai controlli in NIST SP 800-53 Rev. 5. Per altre informazioni su questo standard di conformità, vedere NIST SP 800-53 Rev. 5. Per informazioni sulla Proprietà, vedere Struttura delle definizioni di criteri in Criteri di Azure e Responsabilità condivisa nel cloud.

I mapping seguenti sono relativi ai controlli NIST SP 800-53 Rev. 5 . Molti controlli vengono implementati con una definizione dell'iniziativa Criteri di Azure. Per esaminare la definizione dell'iniziativa completa, aprire Criteri nel portale di Azure e selezionare la pagina Definizioni. Trovare e selezionare quindi la definizione dell'iniziativa predefinita NIST SP 800-53 Rev. 5 Regulatory Compliance.

Importante

Ogni controllo tra quelli riportati di seguito è associato a una o più definizioni di Criteri di Azure. Questi criteri possono aiutare a valutare la conformità con il controllo. In molti casi tuttavia non si tratta di una corrispondenza uno-a-uno o completa tra un controllo e uno o più criteri. Di per sé, Conforme in Criteri di Azure si riferisce solo alle definizioni dei criteri e non garantisce che l'utente sia completamente conforme a tutti i requisiti di un controllo. Inoltre, in questo momento lo standard di conformità include controlli che non vengono gestiti da alcuna definizione di Criteri di Azure. La conformità in Criteri di Azure è quindi solo una visualizzazione parziale dello stato di conformità generale. Le associazioni tra domini di conformità, controlli e definizioni di Criteri di Azure per questo standard di conformità possono cambiare nel tempo. Per visualizzare la cronologia delle modifiche, vedere la cronologia dei commit di GitHub.

Controllo dell’accesso

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 AC-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare criteri e procedure di controllo di accesso CMA_0144 - Sviluppare criteri e procedure di controllo di accesso Manuale, Disabilitato 1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Gestire criteri e procedure CMA_0292 - Gestire criteri e procedure Manuale, Disabilitato 1.1.0
Esaminare i criteri e le procedure di controllo di accesso CMA_0457 - Esaminare i criteri e le procedure di controllo di accesso Manuale, Disabilitato 1.1.0

Gestione degli account

ID: NIST SP 800-53 Rev. 5 AC-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
servizio app le app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Assegnare responsabili account CMA_0015 - Assegnare responsabili account Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gli account bloccati con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Gli account bloccati con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. AuditIfNotExists, Disabled 1.0.0
Definire e applicare le condizioni per gli account condivisi e di gruppo CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo Manuale, Disabilitato 1.1.0
Definire i tipi di account del sistema informativo CMA_0121 - Definire i tipi di account del sistema informativo Manuale, Disabilitato 1.1.0
Privilegi di accesso ai documenti CMA_0186 - Privilegi di accesso ai documenti Manuale, Disabilitato 1.1.0
Stabilire condizioni per l'appartenenza ai ruoli CMA_0269 - Stabilire condizioni per l'appartenenza ai ruoli Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Gli account guest con autorizzazioni di proprietario per le risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di lettura per le risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Gli account guest con autorizzazioni di scrittura per le risorse di Azure devono essere rimossi È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. AuditIfNotExists, Disabled 1.0.0
Monitorare l'attività dell'account CMA_0377 - Monitorare l'attività dell'account Manuale, Disabilitato 1.1.0
Notificare ai responsabili degli account degli account controllati dai clienti CMA_C1009 - Notificare ai responsabili account di account controllati dai clienti Manuale, Disabilitato 1.1.0
Eseguire nuovamente gli autenticatori per i gruppi e gli account modificati CMA_0426 - Autenticatori di riemissione per gruppi e account modificati Manuale, Disabilitato 1.1.0
Richiedere l'approvazione per la creazione dell'account CMA_0431 - Richiedi approvazione per la creazione dell'account Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning degli account CMA_0460 - Esaminare i log di provisioning degli account Manuale, Disabilitato 1.1.0
Esaminare gli account utente CMA_0480 - Esaminare gli account utente Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Gestione automatica degli account di sistema

ID: NIST SP 800-53 Rev. 5 AC-2 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso all'intera organizzazione CMA_0376 - Monitorare l'accesso all'intera organizzazione Manuale, Disabilitato 1.1.0
Notifica quando l'account non è necessario CMA_0383 - Notifica quando l'account non è necessario Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Disabilitare gli account

ID: NIST SP 800-53 Rev. 5 AC-2 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Disabilitare gli autenticatori al termine CMA_0169 - Disabilitare gli autenticatori al termine Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0

Azioni di controllo automatizzate

ID: NIST SP 800-53 Rev. 5 AC-2 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Automatizzare la gestione degli account CMA_0026 - Automatizzare la gestione degli account Manuale, Disabilitato 1.1.0
Gestire gli account di sistema e amministratore CMA_0368 - Gestire gli account di sistema e amministratore Manuale, Disabilitato 1.1.0
Monitorare l'accesso all'intera organizzazione CMA_0376 - Monitorare l'accesso all'intera organizzazione Manuale, Disabilitato 1.1.0
Notifica quando l'account non è necessario CMA_0383 - Notifica quando l'account non è necessario Manuale, Disabilitato 1.1.0

Disconnessione inattività

ID: NIST SP 800-53 Rev. 5 AC-2 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire e applicare i criteri di log di inattività CMA_C1017 - Definire e applicare i criteri di log di inattività Manuale, Disabilitato 1.1.0

Account utente con privilegi

ID: NIST SP 800-53 Rev. 5 AC-2 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Monitorare l'attività dell'account CMA_0377 - Monitorare l'attività dell'account Manuale, Disabilitato 1.1.0
Monitorare l'assegnazione di ruolo con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
Usare privileged identity management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0

Restrizioni sull'uso di account condivisi e di gruppo

ID: NIST SP 800-53 Rev. 5 AC-2 (9) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire e applicare le condizioni per gli account condivisi e di gruppo CMA_0117 - Definire e applicare le condizioni per gli account condivisi e di gruppo Manuale, Disabilitato 1.1.0

Condizioni di utilizzo

ID: NIST SP 800-53 Rev. 5 AC-2 (11) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare l'utilizzo appropriato di tutti gli account CMA_C1023 - Applicare l'utilizzo appropriato di tutti gli account Manuale, Disabilitato 1.1.0

Monitoraggio degli account per l'utilizzo atipico

ID: NIST SP 800-53 Rev. 5 AC-2 (12) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Monitorare l'attività dell'account CMA_0377 - Monitorare l'attività dell'account Manuale, Disabilitato 1.1.0
Segnalare un comportamento atipico degli account utente CMA_C1025 - Segnalare un comportamento atipico degli account utente Manuale, Disabilitato 1.1.0

Disabilitare gli account per utenti a rischio elevato

ID: NIST SP 800-53 Rev. 5 AC-2 (13) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Disabilitare gli account utente che presentano un rischio significativo CMA_C1026 - Disabilitare gli account utente che comportano un rischio significativo Manuale, Disabilitato 1.1.0

Applicazione dell'accesso

ID: NIST SP 800-53 Rev. 5 AC-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
servizio app le app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Controlla i computer Linux in cui sono presenti account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux sono presenti account senza password AuditIfNotExists, Disabled 3.1.0
L'autenticazione nei computer Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Applicare l'accesso logico CMA_0245 - Applicare l'accesso logico Manuale, Disabilitato 1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Richiedere l'approvazione per la creazione dell'account CMA_0431 - Richiedi approvazione per la creazione dell'account Manuale, Disabilitato 1.1.0
Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili CMA_0481 - Esaminare gruppi di utenti e applicazioni con accesso ai dati sensibili Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
È consigliabile eseguire la migrazione degli account di archiviazione alle nuove risorse di Azure Resource Manager È possibile usare la nuova versione di Azure Resource Manager per gli account di archiviazione per fornire funzionalità di sicurezza migliorate, ad esempio controllo di accesso (controllo degli accessi in base al ruolo) più avanzato, controllo ottimizzato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0
È consigliabile eseguire la migrazione delle macchine virtuali alle nuove risorse di Azure Resource Manager Usare la nuova versione di Azure Resource Manager per le macchine virtuali per fornire funzionalità di sicurezza migliorate quali controllo di accesso (Controllo degli accessi in base al ruolo) più avanzato, controllo più accurato, distribuzione e governance basate su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, autenticazione basata su Azure AD e supporto di tag e gruppi di risorse per una gestione della sicurezza semplificata Audit, Deny, Disabled 1.0.0

Controllo degli accessi in base al ruolo

ID: NIST SP 800-53 Rev. 5 AC-3 (7) Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile usare il Controllo degli accessi in base al ruolo di Azure nei servizi Kubernetes Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare il controllo degli Controllo di accesso accessi in base al ruolo di Azure per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. Audit, Disabled 1.0.3

Applicazione del controllo dei flussi di informazioni

ID: NIST SP 800-53 Rev. 5 AC-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-preview
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. AuditIfNotExists, Disabled 2.0.0
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
cache di Azure per Redis deve usare un collegamento privato Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0
Azure Data Factory deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare il collegamento privato La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le aree di lavoro di Azure Synapse devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. Audit, Deny, Disabled 3.0.1
Servizi cognitivi deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Flusso di informazioni di controllo CMA_0079 - Flusso di informazioni di controllo Manuale, Disabilitato 1.1.0
Gli account CosmosDB devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Usare meccanismi di controllo del flusso di informazioni crittografate CMA_0211 - Usare meccanismi di controllo del flusso di informazioni crittografate Manuale, Disabilitato 1.1.0
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
hub IoT istanze del servizio device provisioning devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Archiviazione gli account devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Controllo flusso di informazioni dinamiche

ID: NIST SP 800-53 Rev. 5 AC-4 (3) Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0

Filtri per i criteri di sicurezza e privacy

ID: NIST SP 800-53 Rev. 5 AC-4 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza CMA_C1029 - Controllo del flusso di informazioni tramite filtri dei criteri di sicurezza Manuale, Disabilitato 1.1.0

Separazione fisica o logica dei flussi di informazioni

ID: NIST SP 800-53 Rev. 5 AC-4 (21) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Flusso di informazioni di controllo CMA_0079 - Flusso di informazioni di controllo Manuale, Disabilitato 1.1.0
Stabilire gli standard di configurazione del firewall e del router CMA_0272 - Stabilire gli standard di configurazione del firewall e del router Manuale, Disabilitato 1.1.0
Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda CMA_0273 - Stabilire la segmentazione di rete per l'ambiente dati del titolare della scheda Manuale, Disabilitato 1.1.0
Identificare e gestire scambi di informazioni downstream CMA_0298 - Identificare e gestire scambi di informazioni downstream Manuale, Disabilitato 1.1.0

Separazione dei compiti

ID: NIST SP 800-53 Rev. 5 AC-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire le autorizzazioni di accesso per supportare la separazione dei compiti CMA_0116 - Definire le autorizzazioni di accesso per supportare la separazione dei compiti Manuale, Disabilitato 1.1.0
Separazione dei compiti in documenti CMA_0204 - Separazione dei compiti Manuale, Disabilitato 1.1.0
Compiti separati delle persone CMA_0492 - Compiti separati delle persone Manuale, Disabilitato 1.1.0
Alla sottoscrizione deve essere assegnato più di un proprietario È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. AuditIfNotExists, Disabled 3.0.0

Privilegi minimi

ID: NIST SP 800-53 Rev. 5 AC-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Progettare un modello di controllo di accesso CMA_0129 - Progettare un modello di controllo di accesso Manuale, Disabilitato 1.1.0
Usare l'accesso con privilegi minimi CMA_0212 - Usare l'accesso con privilegi minimi Manuale, Disabilitato 1.1.0

Autorizzare l'accesso alle funzioni di sicurezza

ID: NIST SP 800-53 Rev. 5 AC-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza CMA_0022 - Autorizzare l'accesso alle funzioni e alle informazioni di sicurezza Manuale, Disabilitato 1.1.0
Autorizzare e gestire l'accesso CMA_0023 - Autorizzare e gestire l'accesso Manuale, Disabilitato 1.1.0
Applicare criteri di controllo di accesso obbligatori e discrezionali CMA_0246 - Applicare criteri di controllo di accesso obbligatori e discrezionali Manuale, Disabilitato 1.1.0

Account con privilegi

ID: NIST SP 800-53 Rev. 5 AC-6 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0

Verifica dei privilegi utente

ID: NIST SP 800-53 Rev. 5 AC-6 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Per la sottoscrizione devono essere designati al massimo 3 proprietari È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. AuditIfNotExists, Disabled 3.0.0
Controllare l'utilizzo dei ruoli controllo degli accessi in base al ruolo personalizzati Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce Audit, Disabled 1.0.1
Riassegnare o rimuovere i privilegi utente in base alle esigenze CMA_C1040 - Riassegnare o rimuovere i privilegi utente in base alle esigenze Manuale, Disabilitato 1.1.0
Esaminare i privilegi utente CMA_C1039 - Esaminare i privilegi utente Manuale, Disabilitato 1.1.0

Livelli di privilegio per l'esecuzione del codice

ID: NIST SP 800-53 Rev. 5 AC-6 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare i privilegi di esecuzione del software CMA_C1041 - Applicare privilegi di esecuzione software Manuale, Disabilitato 1.1.0

Uso dei log di Funzioni con privilegi

ID: NIST SP 800-53 Rev. 5 AC-6 (9) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Eseguire un'analisi full-text dei comandi con privilegi registrati CMA_0056 - Eseguire un'analisi full-text dei comandi con privilegi registrati Manuale, Disabilitato 1.1.0
Monitorare l'assegnazione di ruolo con privilegi CMA_0378 - Monitorare l'assegnazione di ruoli con privilegi Manuale, Disabilitato 1.1.0
Limitare l'accesso agli account con privilegi CMA_0446 - Limitare l'accesso agli account con privilegi Manuale, Disabilitato 1.1.0
Revocare i ruoli con privilegi in base alle esigenze CMA_0483 - Revocare i ruoli con privilegi in base alle esigenze Manuale, Disabilitato 1.1.0
Usare privileged identity management CMA_0533 - Usare Privileged Identity Management Manuale, Disabilitato 1.1.0

Tentativi di accesso non riusciti

ID: NIST SP 800-53 Rev. 5 AC-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare un limite di tentativi di accesso consecutivi non riusciti CMA_C1044 - Applicare un limite di tentativi di accesso consecutivi non riusciti Manuale, Disabilitato 1.1.0

Controllo delle sessioni simultanee

ID: NIST SP 800-53 Rev. 5 AC-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire e applicare il limite di sessioni simultanee CMA_C1050 : definire e applicare il limite di sessioni simultanee Manuale, Disabilitato 1.1.0

Terminazione della sessione

ID: NIST SP 800-53 Rev. 5 AC-12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Terminare automaticamente la sessione utente CMA_C1054 - Terminare automaticamente la sessione utente Manuale, Disabilitato 1.1.0

Logout avviati dall'utente

ID: NIST SP 800-53 Rev. 5 AC-12 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Visualizzare un messaggio di disconnessione esplicito CMA_C1056 - Visualizzare un messaggio di disconnessione esplicito Manuale, Disabilitato 1.1.0
Fornire la funzionalità di disconnessione CMA_C1055 - Fornire la funzionalità di disconnessione Manuale, Disabilitato 1.1.0

Azioni consentite senza identificazione o autenticazione

ID: NIST SP 800-53 Rev. 5 AC-14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare le azioni consentite senza autenticazione CMA_0295 - Identificare le azioni consentite senza autenticazione Manuale, Disabilitato 1.1.0

Attributi di sicurezza e privacy

ID: NIST SP 800-53 Rev. 5 AC-16 Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2

Accesso remoto

ID: NIST SP 800-53 Rev. 5 AC-17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
servizio app le app devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
cache di Azure per Redis deve usare un collegamento privato Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Data Factory deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare il collegamento privato La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le aree di lavoro di Azure Synapse devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Servizi cognitivi deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account CosmosDB devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Le risorse di accesso al disco devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Documentare il training sulla mobilità CMA_0191 - Documentare la formazione sulla mobilità Manuale, Disabilitato 1.1.0
Documentare le linee guida per l'accesso remoto CMA_0196 - Documentare le linee guida per l'accesso remoto Manuale, Disabilitato 1.1.0
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Implementare controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi Manuale, Disabilitato 1.1.0
hub IoT istanze del servizio device provisioning devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Fornire formazione sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Archiviazione gli account devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Monitoraggio e controllo

ID: NIST SP 800-53 Rev. 5 AC-17 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
servizio app le app devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Controlla i computer Linux che consentono connessioni remote da account senza password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Linux consentono connessioni remote da account senza password AuditIfNotExists, Disabled 3.1.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
cache di Azure per Redis deve usare un collegamento privato Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Azure Data Factory deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare il collegamento privato La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Azure Spring Cloud deve usare l'aggiunta alla rete Le istanze di Azure Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Consentire ad Azure Spring Cloud di interagire con i sistemi nei data center locali o con il servizio Azure in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. Audit, Disabled, Deny 1.2.0
Le aree di lavoro di Azure Synapse devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Servizi cognitivi deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account CosmosDB devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Le risorse di accesso al disco devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
hub IoT istanze del servizio device provisioning devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
Monitorare l'accesso all'intera organizzazione CMA_0376 - Monitorare l'accesso all'intera organizzazione Manuale, Disabilitato 1.1.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Archiviazione gli account devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Protezione della riservatezza e dell'integrità tramite la crittografia

ID: NIST SP 800-53 Rev. 5 AC-17 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Notificare agli utenti l'accesso o l'accesso al sistema CMA_0382 - Notificare agli utenti l'accesso o l'accesso al sistema Manuale, Disabilitato 1.1.0
Proteggere i dati in transito tramite la crittografia CMA_0403 - Proteggere i dati in transito tramite la crittografia Manuale, Disabilitato 1.1.0

Punti di Controllo di accesso gestiti

ID: NIST SP 800-53 Rev. 5 AC-17 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Instradare il traffico attraverso i punti di accesso alla rete gestita CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita Manuale, Disabilitato 1.1.0

Comandi con privilegi e accesso

ID: NIST SP 800-53 Rev. 5 AC-17 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Autorizzare l'accesso remoto ai comandi con privilegi CMA_C1064 - Autorizzare l'accesso remoto ai comandi con privilegi Manuale, Disabilitato 1.1.0
Documentare le linee guida per l'accesso remoto CMA_0196 - Documentare le linee guida per l'accesso remoto Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi Manuale, Disabilitato 1.1.0
Fornire formazione sulla privacy CMA_0415 - Fornire formazione sulla privacy Manuale, Disabilitato 1.1.0

Disconnettere o disabilitare l'accesso

ID: NIST SP 800-53 Rev. 5 AC-17 (9) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Offrire la possibilità di disconnettersi o disabilitare l'accesso remoto CMA_C1066 : consente di disconnettersi o disabilitare l'accesso remoto Manuale, Disabilitato 1.1.0

Accesso wireless

ID: NIST SP 800-53 Rev. 5 AC-18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare e implementare linee guida per l'accesso wireless CMA_0190 - Documentare e implementare linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0

Autenticazione e crittografia

ID: NIST SP 800-53 Rev. 5 AC-18 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare e implementare linee guida per l'accesso wireless CMA_0190 - Documentare e implementare linee guida per l'accesso wireless Manuale, Disabilitato 1.1.0
Identificare ed autenticare i dispositivi di rete CMA_0296 - Identificare ed autenticare i dispositivi di rete Manuale, Disabilitato 1.1.0
Proteggere l'accesso wireless CMA_0411 - Proteggere l'accesso wireless Manuale, Disabilitato 1.1.0

Controllo di accesso per dispositivi mobili

ID: NIST SP 800-53 Rev. 5 AC-19 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire i requisiti dei dispositivi mobili CMA_0122 - Definire i requisiti dei dispositivi mobili Manuale, Disabilitato 1.1.0

Crittografia completa basata su dispositivo o contenitore

ID: NIST SP 800-53 Rev. 5 AC-19 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire i requisiti dei dispositivi mobili CMA_0122 - Definire i requisiti dei dispositivi mobili Manuale, Disabilitato 1.1.0
Proteggere i dati in transito tramite la crittografia CMA_0403 - Proteggere i dati in transito tramite la crittografia Manuale, Disabilitato 1.1.0

Uso di sistemi esterni

ID: NIST SP 800-53 Rev. 5 AC-20 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire termini e condizioni per l'accesso alle risorse CMA_C1076 - Stabilire termini e condizioni per l'accesso alle risorse Manuale, Disabilitato 1.1.0
Stabilire termini e condizioni per l'elaborazione delle risorse CMA_C1077 - Stabilire termini e condizioni per l'elaborazione delle risorse Manuale, Disabilitato 1.1.0

Limiti per l'uso autorizzato

ID: NIST SP 800-53 Rev. 5 AC-20 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare i controlli di sicurezza per i sistemi informativi esterni CMA_0541 - Verificare i controlli di sicurezza per i sistemi informativi esterni Manuale, Disabilitato 1.1.0

Dispositivi portabili Archiviazione ??? Uso con restrizioni

ID: NIST SP 800-53 Rev. 5 AC-20 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Controllare l'uso di dispositivi di archiviazione portatili CMA_0083 - Controllare l'uso di dispositivi di archiviazione portatili Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Condivisione delle informazioni

ID: NIST SP 800-53 Rev. 5 AC-21 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare le decisioni di condivisione delle informazioni CMA_0028 - Automatizzare le decisioni di condivisione delle informazioni Manuale, Disabilitato 1.1.0
Facilitare la condivisione delle informazioni CMA_0284 - Facilitare la condivisione delle informazioni Manuale, Disabilitato 1.1.0

Contenuto accessibile pubblicamente

ID: NIST SP 800-53 Rev. 5 AC-22 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Designare il personale autorizzato a pubblicare informazioni accessibili pubblicamente CMA_C1083 - Designare il personale autorizzato a pubblicare informazioni accessibili pubblicamente Manuale, Disabilitato 1.1.0
Esaminare il contenuto prima di pubblicare informazioni accessibili pubblicamente CMA_C1085 - Esaminare il contenuto prima di pubblicare informazioni accessibili pubblicamente Manuale, Disabilitato 1.1.0
Esaminare il contenuto accessibile pubblicamente per informazioni non pubbliche CMA_C1086 - Esaminare il contenuto accessibile pubblicamente per informazioni non pubbliche Manuale, Disabilitato 1.1.0
Formare il personale sulla divulgazione di informazioni non pubbliche CMA_C1084 - Formare il personale sulla divulgazione di informazioni non pubbliche Manuale, Disabilitato 1.1.0

Consapevolezza e formazione

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 AT-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare le attività di formazione sulla sicurezza e sulla privacy CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy Manuale, Disabilitato 1.1.0
Aggiornare i criteri di sicurezza delle informazioni CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni Manuale, Disabilitato 1.1.0

Formazione e sensibilizzazione per l'alfabetizzazione

ID: NIST SP 800-53 Rev. 5 AT-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione periodica sulla sensibilizzazione sulla sicurezza CMA_C1091 - Fornire una formazione periodica di sensibilizzazione sulla sicurezza Manuale, Disabilitato 1.1.0
Fornire formazione sulla sicurezza per i nuovi utenti CMA_0419 - Fornire formazione sulla sicurezza per i nuovi utenti Manuale, Disabilitato 1.1.0
Fornire formazione aggiornata sulla consapevolezza della sicurezza CMA_C1090 - Fornire formazione aggiornata sulla consapevolezza della sicurezza Manuale, Disabilitato 1.1.0

Minaccia Insider

ID: NIST SP 800-53 Rev. 5 AT-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione sulla consapevolezza della sicurezza per le minacce interne CMA_0417 - Fornire formazione sulla consapevolezza della sicurezza per le minacce interne Manuale, Disabilitato 1.1.0

Formazione basata sui ruoli

ID: NIST SP 800-53 Rev. 5 AT-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione periodica sulla sicurezza basata sui ruoli CMA_C1095 - Fornire formazione periodica sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Fornire formazione sulla sicurezza basata sui ruoli CMA_C1094 - Fornire formazione sulla sicurezza basata sui ruoli Manuale, Disabilitato 1.1.0
Fornire formazione sulla sicurezza prima di fornire l'accesso CMA_0418 - Fornire formazione sulla sicurezza prima di fornire l'accesso Manuale, Disabilitato 1.1.0

Esercizi pratici

ID: NIST SP 800-53 Rev. 5 AT-3 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire esercizi pratici basati sui ruoli CMA_C1096 - Fornire esercizi pratici basati sui ruoli Manuale, Disabilitato 1.1.0

Record di training

ID: NIST SP 800-53 Rev. 5 AT-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare le attività di formazione sulla sicurezza e sulla privacy CMA_0198 - Documentare le attività di formazione sulla sicurezza e sulla privacy Manuale, Disabilitato 1.1.0
Monitorare il completamento del training per la sicurezza e la privacy CMA_0379 - Monitorare il completamento del training per la sicurezza e la privacy Manuale, Disabilitato 1.1.0
Conservare i record di training CMA_0456 - Conservare i record di training Manuale, Disabilitato 1.1.0

Controllo e responsabilità

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 AU-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare criteri e procedure di controllo e responsabilità CMA_0154 - Sviluppare criteri e procedure di controllo e responsabilità Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di sicurezza delle informazioni CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Gestire criteri e procedure CMA_0292 - Gestire criteri e procedure Manuale, Disabilitato 1.1.0
Aggiornare i criteri di sicurezza delle informazioni CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni Manuale, Disabilitato 1.1.0

Registrazione eventi

ID: NIST SP 800-53 Rev. 5 AU-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0

Contenuto dei record di controllo

ID: NIST SP 800-53 Rev. 5 AU-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0

Informazioni aggiuntive sul controllo

ID: NIST SP 800-53 Rev. 5 AU-3 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le funzionalità di controllo di Azure CMA_C1108 - Configurare le funzionalità di controllo di Azure Manuale, Disabilitato 1.1.1

Capacità Archiviazione log di controllo

ID: NIST SP 800-53 Rev. 5 AU-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0

Risposta agli errori del processo di registrazione di controllo

ID: NIST SP 800-53 Rev. 5 AU-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire e monitorare le attività di elaborazione dei controlli CMA_0289 - Gestire e monitorare le attività di elaborazione dei controlli Manuale, Disabilitato 1.1.0

Avvisi in tempo reale

ID: NIST SP 800-53 Rev. 5 AU-5 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire avvisi in tempo reale per gli errori degli eventi di controllo CMA_C1114 - Fornire avvisi in tempo reale per gli errori degli eventi di controllo Manuale, Disabilitato 1.1.0

Verifica, analisi e creazione di report dei record di controllo

ID: NIST SP 800-53 Rev. 5 AU-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e la creazione di report di controllo CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo Manuale, Disabilitato 1.1.0
Integrare la revisione, l'analisi e la creazione di report di controllo CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con una soluzione siem CMA_0340 - Integrare Cloud App Security con una soluzione siem Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Esaminare i log di provisioning degli account CMA_0460 - Esaminare i log di provisioning degli account Manuale, Disabilitato 1.1.0
Esaminare le assegnazioni di amministratore ogni settimana CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Esaminare i dati di controllo CMA_0466 - Esaminare i dati di controllo Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sull'identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare l'attività di file e cartelle CMA_0473 - Esaminare l'attività di file e cartelle Manuale, Disabilitato 1.1.0
Esaminare le modifiche al gruppo di ruoli ogni settimana CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0

Integrazione automatizzata dei processi

ID: NIST SP 800-53 Rev. 5 AU-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e la creazione di report di controllo CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo Manuale, Disabilitato 1.1.0
Integrare la revisione, l'analisi e la creazione di report di controllo CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con una soluzione siem CMA_0340 - Integrare Cloud App Security con una soluzione siem Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning degli account CMA_0460 - Esaminare i log di provisioning degli account Manuale, Disabilitato 1.1.0
Esaminare le assegnazioni di amministratore ogni settimana CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Esaminare i dati di controllo CMA_0466 - Esaminare i dati di controllo Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sull'identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare l'attività di file e cartelle CMA_0473 - Esaminare l'attività di file e cartelle Manuale, Disabilitato 1.1.0
Esaminare le modifiche al gruppo di ruoli ogni settimana CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0

Correlare i repository di record di controllo

ID: NIST SP 800-53 Rev. 5 AU-6 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con una soluzione siem CMA_0340 - Integrare Cloud App Security con una soluzione siem Manuale, Disabilitato 1.1.0

Revisione e analisi centrali

ID: NIST SP 800-53 Rev. 5 AU-6 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
servizio app le app devono avere i log delle risorse abilitati Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
È necessario abilitare i log delle risorse in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È necessario abilitare i log delle risorse negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in Data Lake Analytics devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub eventi devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in hub IoT devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
È necessario abilitare i log delle risorse in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in App per la logica devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in bus di servizio devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Analisi integrata dei record di controllo

ID: NIST SP 800-53 Rev. 5 AU-6 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
servizio app le app devono avere i log delle risorse abilitati Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
Integrare l'analisi dei record di controllo CMA_C1120 - Integrare l'analisi dei record di controllo Manuale, Disabilitato 1.1.0
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
È necessario abilitare i log delle risorse in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È necessario abilitare i log delle risorse negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in Data Lake Analytics devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub eventi devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in hub IoT devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
È necessario abilitare i log delle risorse in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in App per la logica devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in bus di servizio devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Azioni consentite

ID: NIST SP 800-53 Rev. 5 AU-6 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Specificare le azioni consentite associate alle informazioni di controllo dei clienti CMA_C1122 - Specificare le azioni consentite associate alle informazioni di controllo dei clienti Manuale, Disabilitato 1.1.0

Riduzione dei record di controllo e generazione di report

ID: NIST SP 800-53 Rev. 5 AU-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare che i record di controllo non vengano modificati CMA_C1125 - Assicurarsi che i record di controllo non vengano modificati Manuale, Disabilitato 1.1.0
Fornire funzionalità di revisione, analisi e creazione di report di controllo CMA_C1124 - Fornire funzionalità di revisione, analisi e creazione di report di controllo Manuale, Disabilitato 1.1.0

Elaborazione automatica

ID: NIST SP 800-53 Rev. 5 AU-7 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Offrire la possibilità di elaborare i record di controllo controllati dal cliente CMA_C1126 - Offrire la possibilità di elaborare i record di controllo controllati dal cliente Manuale, Disabilitato 1.1.0

Timestamp

ID: NIST SP 800-53 Rev. 5 AU-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare gli orologi di sistema per i record di controllo CMA_0535 - Usare orologi di sistema per i record di controllo Manuale, Disabilitato 1.1.0

Protezione delle informazioni di controllo

ID: NIST SP 800-53 Rev. 5 AU-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Abilitare l'autorizzazione doppia o congiunta CMA_0226 - Abilitare l'autorizzazione doppia o congiunta Manuale, Disabilitato 1.1.0
Proteggere le informazioni di controllo CMA_0401 - Proteggere le informazioni di controllo Manuale, Disabilitato 1.1.0

Archiviare in sistemi fisici o componenti separati

ID: NIST SP 800-53 Rev. 5 AU-9 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0

Protezione crittografica

ID: NIST SP 800-53 Rev. 5 AU-9 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Mantenere l'integrità del sistema di controllo CMA_C1133 - Mantenere l'integrità del sistema di controllo Manuale, Disabilitato 1.1.0

Accesso da parte di subset di utenti con privilegi

ID: NIST SP 800-53 Rev. 5 AU-9 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Proteggere le informazioni di controllo CMA_0401 - Proteggere le informazioni di controllo Manuale, Disabilitato 1.1.0

Non ripudio

ID: NIST SP 800-53 Rev. 5 AU-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire i requisiti di firma elettronica e certificato CMA_0271 - Stabilire i requisiti di firma elettronica e certificato Manuale, Disabilitato 1.1.0

Conservazione dei record di controllo

ID: NIST SP 800-53 Rev. 5 AU-11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rispettare i periodi di conservazione definiti CMA_0004 - Rispettare i periodi di conservazione definiti Manuale, Disabilitato 1.1.0
Conservare criteri e procedure di sicurezza CMA_0454 - Mantenere criteri e procedure di sicurezza Manuale, Disabilitato 1.1.0
Conservare i dati utente terminati CMA_0455 - Conservare i dati utente terminati Manuale, Disabilitato 1.1.0
I server SQL con controllo nella destinazione dell'account di archiviazione devono essere configurati con conservazione di 90 giorni o superiore Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo di SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 3.0.0

Generazione di record di controllo

ID: NIST SP 800-53 Rev. 5 AU-12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
servizio app le app devono avere i log delle risorse abilitati Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
È necessario abilitare i log delle risorse in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È necessario abilitare i log delle risorse negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in Data Lake Analytics devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub eventi devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in hub IoT devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
È necessario abilitare i log delle risorse in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in App per la logica devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in bus di servizio devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
Esaminare i dati di controllo CMA_0466 - Esaminare i dati di controllo Manuale, Disabilitato 1.1.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Audit Trail correlato al sistema e correlato al tempo

ID: NIST SP 800-53 Rev. 5 AU-12 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
servizio app le app devono avere i log delle risorse abilitati Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. AuditIfNotExists, Disabled 2.0.1
È consigliabile abilitare il controllo in SQL Server Abilitare il controllo in SQL Server per verificare le attività del database in tutti i database sul server e salvarle in un log di controllo. AuditIfNotExists, Disabled 2.0.0
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Compilare i record di controllo in un controllo a livello di sistema CMA_C1140 - Compilare i record di controllo in un controllo a livello di sistema Manuale, Disabilitato 1.1.0
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
È necessario abilitare i log delle risorse in Azure Data Lake Store Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È consigliabile abilitare i log delle risorse in Analisi di flusso di Azure Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
È necessario abilitare i log delle risorse negli account Batch Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in Data Lake Analytics devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse nell'hub eventi devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in hub IoT devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 3.1.0
È necessario abilitare i log delle risorse in Key Vault Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in App per la logica devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.1.0
I log delle risorse nelle servizio di ricerca devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
I log delle risorse in bus di servizio devono essere abilitati Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa AuditIfNotExists, Disabled 5.0.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Modifiche da parte di utenti autorizzati

ID: NIST SP 800-53 Rev. 5 AU-12 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Offrire la possibilità di estendere o limitare il controllo sulle risorse distribuite dal cliente CMA_C1141 - Offrire la possibilità di estendere o limitare il controllo sulle risorse distribuite dal cliente Manuale, Disabilitato 1.1.0

Valutazione, autorizzazione e monitoraggio

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 CA-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare i criteri e le procedure di valutazione della sicurezza e autorizzazione CMA_C1143 - Esaminare criteri e procedure di valutazione della sicurezza e autorizzazione Manuale, Disabilitato 1.1.0

Valutazioni dei controlli

ID: NIST SP 800-53 Rev. 5 CA-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare i controlli di sicurezza CMA_C1145 - Valutare i controlli di sicurezza Manuale, Disabilitato 1.1.0
Risultati della valutazione della sicurezza CMA_C1147 - Risultati della valutazione della sicurezza Manuale, Disabilitato 1.1.0
Sviluppare un piano di valutazione della sicurezza CMA_C1144 - Sviluppare un piano di valutazione della sicurezza Manuale, Disabilitato 1.1.0
Creare un report sulla valutazione della sicurezza CMA_C1146 - Produrre report sulla valutazione della sicurezza Manuale, Disabilitato 1.1.0

Valutatori indipendenti

ID: NIST SP 800-53 Rev. 5 CA-2 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare valutatori indipendenti per eseguire valutazioni dei controlli di sicurezza CMA_C1148 - Impiegare valutatori indipendenti per eseguire valutazioni dei controlli di sicurezza Manuale, Disabilitato 1.1.0

Valutazioni specializzate

ID: NIST SP 800-53 Rev. 5 CA-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza CMA_C1149 - Selezionare test aggiuntivi per le valutazioni dei controlli di sicurezza Manuale, Disabilitato 1.1.0

Utilizzo dei risultati di organizzazioni esterne

ID: NIST SP 800-53 Rev. 5 CA-2 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Accettare i risultati della valutazione CMA_C1150 - Accettare i risultati della valutazione Manuale, Disabilitato 1.1.0

Scambio di informazioni

ID: NIST SP 800-53 Rev. 5 CA-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Richiedere contratti di sicurezza di interconnessione CMA_C1151 - Richiedere contratti di sicurezza di interconnessione Manuale, Disabilitato 1.1.0
Aggiornare i contratti di sicurezza di interconnessione CMA_0519 - Aggiornare i contratti di sicurezza di interconnessione Manuale, Disabilitato 1.1.0

Piano di azione e attività cardine

ID: NIST SP 800-53 Rev. 5 CA-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare POA&M CMA_C1156 - Sviluppare POA&M Manuale, Disabilitato 1.1.0
Aggiorna elementi POA&M CMA_C1157 - Aggiornare gli elementi POA&M Manuale, Disabilitato 1.1.0

Autorizzazione

ID: NIST SP 800-53 Rev. 5 CA-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assegnare un ufficiale di autorizzazione (AO) CMA_C1158 - Assegnare un ufficiale di autorizzazione (AO) Manuale, Disabilitato 1.1.0
Verificare che le risorse siano autorizzate CMA_C1159 - Assicurarsi che le risorse siano autorizzate Manuale, Disabilitato 1.1.0
Aggiornare l'autorizzazione di sicurezza CMA_C1160 - Aggiornare l'autorizzazione di sicurezza Manuale, Disabilitato 1.1.0

Monitoraggio continuo

ID: NIST SP 800-53 Rev. 5 CA-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare l'elenco elementi consentiti per il rilevamento CMA_0068 - Configurare l'elenco elementi consentiti per il rilevamento Manuale, Disabilitato 1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0
Sottoposto a revisione della sicurezza indipendente CMA_0515 - Sottoposto a revisione della sicurezza indipendente Manuale, Disabilitato 1.1.0

Valutazione indipendente

ID: NIST SP 800-53 Rev. 5 CA-7 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare valutatori indipendenti per il monitoraggio continuo CMA_C1168 - Impiegare valutatori indipendenti per il monitoraggio continuo Manuale, Disabilitato 1.1.0

Analisi delle tendenze

ID: NIST SP 800-53 Rev. 5 CA-7 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Analizzare i dati ottenuti dal monitoraggio continuo CMA_C1169 - Analizzare i dati ottenuti dal monitoraggio continuo Manuale, Disabilitato 1.1.0

Agente di test di penetrazione indipendente o team

ID: NIST SP 800-53 Rev. 5 CA-8 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare un team indipendente per i test di penetrazione CMA_C1171 - Impiegare un team indipendente per i test di penetrazione Manuale, Disabilitato 1.1.0

Connessioni di sistema interne

ID: NIST SP 800-53 Rev. 5 CA-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne CMA_0053 - Verificare la conformità alla privacy e alla sicurezza prima di stabilire connessioni interne Manuale, Disabilitato 1.1.0

Gestione della configurazione

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 CM-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di gestione della configurazione CMA_C1175 - Esaminare e aggiornare i criteri e le procedure di gestione della configurazione Manuale, Disabilitato 1.1.0

Configurazione di base

ID: NIST SP 800-53 Rev. 5 CM-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le azioni per i dispositivi non conformi CMA_0062 - Configurare le azioni per i dispositivi non conformi Manuale, Disabilitato 1.1.0
Sviluppare e gestire configurazioni di base CMA_0153 - Sviluppare e gestire configurazioni di base Manuale, Disabilitato 1.1.0
Applicare le impostazioni di configurazione della sicurezza CMA_0249 - Applicare le impostazioni di configurazione della sicurezza Manuale, Disabilitato 1.1.0
Stabilire una scheda di controllo della configurazione CMA_0254 - Stabilire una scheda di controllo della configurazione Manuale, Disabilitato 1.1.0
Stabilire e documentare un piano di gestione della configurazione CMA_0264 - Stabilire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0

Supporto di automazione per accuratezza e valuta

ID: NIST SP 800-53 Rev. 5 CM-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le azioni per i dispositivi non conformi CMA_0062 - Configurare le azioni per i dispositivi non conformi Manuale, Disabilitato 1.1.0
Sviluppare e gestire configurazioni di base CMA_0153 - Sviluppare e gestire configurazioni di base Manuale, Disabilitato 1.1.0
Applicare le impostazioni di configurazione della sicurezza CMA_0249 - Applicare le impostazioni di configurazione della sicurezza Manuale, Disabilitato 1.1.0
Stabilire una scheda di controllo della configurazione CMA_0254 - Stabilire una scheda di controllo della configurazione Manuale, Disabilitato 1.1.0
Stabilire e documentare un piano di gestione della configurazione CMA_0264 - Stabilire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0

Conservazione delle configurazioni precedenti

ID: NIST SP 800-53 Rev. 5 CM-2 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Mantenere le versioni precedenti delle configurazioni di base CMA_C1181 - Mantenere le versioni precedenti delle configurazioni di base Manuale, Disabilitato 1.1.0

Configurare sistemi e componenti per aree ad alto rischio

ID: NIST SP 800-53 Rev. 5 CM-2 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assicurarsi che le misure di sicurezza non siano necessarie quando i singoli utenti restituiscono CMA_C1183 : assicurarsi che le misure di sicurezza non siano necessarie quando gli utenti restituiscono Manuale, Disabilitato 1.1.0
Non consentire ai sistemi informativi di accompagnare le persone CMA_C1182 - Non consentire ai sistemi informativi di accompagnare le persone Manuale, Disabilitato 1.1.0

Controllo delle modifiche della configurazione

ID: NIST SP 800-53 Rev. 5 CM-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Sviluppare e gestire uno standard gestione delle vulnerabilità CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Stabilire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione Manuale, Disabilitato 1.1.0

Documentazione automatizzata, notifica e divieto di modifiche

ID: NIST SP 800-53 Rev. 5 CM-3 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la richiesta di approvazione per le modifiche proposte CMA_C1192 - Automatizzare la richiesta di approvazione per le modifiche proposte Manuale, Disabilitato 1.1.0
Automatizzare l'implementazione delle notifiche di modifica approvate CMA_C1196 - Automatizzare l'implementazione delle notifiche di modifica approvate Manuale, Disabilitato 1.1.0
Automatizzare il processo per documentare le modifiche implementate CMA_C1195 - Automatizzare il processo per documentare le modifiche implementate Manuale, Disabilitato 1.1.0
Automatizzare il processo per evidenziare le proposte di modifica non presentate CMA_C1193 - Automatizzare il processo per evidenziare le proposte di modifica non presentate Manuale, Disabilitato 1.1.0
Automatizzare il processo per impedire l'implementazione di modifiche non approvati CMA_C1194 - Automatizzare il processo per impedire l'implementazione di modifiche non approvati Manuale, Disabilitato 1.1.0
Automatizzare le modifiche documentate proposte CMA_C1191 - Automatizzare le modifiche documentate proposte Manuale, Disabilitato 1.1.0

Test, convalida e documentazione delle modifiche

ID: NIST SP 800-53 Rev. 5 CM-3 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione Manuale, Disabilitato 1.1.0

Rappresentanti della sicurezza e della privacy

ID: NIST SP 800-53 Rev. 5 CM-3 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assegnare un rappresentante della sicurezza delle informazioni al controllo delle modifiche CMA_C1198 - Assegnare un rappresentante della sicurezza delle informazioni al controllo delle modifiche Manuale, Disabilitato 1.1.0

Gestione della crittografia

ID: NIST SP 800-53 Rev. 5 CM-3 (6) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare che i meccanismi di crittografia siano in gestione della configurazione CMA_C1199 - Assicurarsi che i meccanismi di crittografia siano in gestione della configurazione Manuale, Disabilitato 1.1.0

Analisi dell'impatto

ID: NIST SP 800-53 Rev. 5 CM-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Sviluppare e gestire uno standard gestione delle vulnerabilità CMA_0152 - Sviluppare e gestire uno standard gestione delle vulnerabilità Manuale, Disabilitato 1.1.0
Definire una strategia di gestione dei rischi CMA_0258 - Stabilire una strategia di gestione dei rischi Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione Manuale, Disabilitato 1.1.0

Ambienti di test separati

ID: NIST SP 800-53 Rev. 5 CM-4 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire un'analisi dell'impatto sulla sicurezza CMA_0057 - Eseguire un'analisi dell'impatto sulla sicurezza Manuale, Disabilitato 1.1.0
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0
Stabilire i requisiti di gestione della configurazione per gli sviluppatori CMA_0270 - Stabilire i requisiti di gestione della configurazione per gli sviluppatori Manuale, Disabilitato 1.1.0
Eseguire una valutazione dell'impatto sulla privacy CMA_0387 - Eseguire una valutazione dell'impatto sulla privacy Manuale, Disabilitato 1.1.0
Eseguire il controllo per il controllo delle modifiche della configurazione CMA_0390 - Eseguire il controllo per il controllo delle modifiche della configurazione Manuale, Disabilitato 1.1.0

Restrizioni di accesso per le modifiche

ID: NIST SP 800-53 Rev. 5 CM-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire e documentare i processi di controllo delle modifiche CMA_0265 - Stabilire e documentare i processi di controllo delle modifiche Manuale, Disabilitato 1.1.0

Applicazione e record di controllo automatizzati per l'accesso

ID: NIST SP 800-53 Rev. 5 CM-5 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare e controllare le restrizioni di accesso CMA_C1203 - Applicare e controllare le restrizioni di accesso Manuale, Disabilitato 1.1.0

Limitazione dei privilegi per la produzione e l'operazione

ID: NIST SP 800-53 Rev. 5 CM-5 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Limitare i privilegi per apportare modifiche nell'ambiente di produzione CMA_C1206 - Limitare i privilegi per apportare modifiche nell'ambiente di produzione Manuale, Disabilitato 1.1.0
Esaminare e rivalutare i privilegi CMA_C1207 - Rivedere e rivalutare i privilegi Manuale, Disabilitato 1.1.0

Impostazioni di configurazione

ID: NIST SP 800-53 Rev. 5 CM-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Deprecato]: le app per le funzioni devono avere abilitato "Certificati client (certificati client in ingresso)" I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con certificati validi potranno raggiungere l'app. Questo criterio è stato sostituito da un nuovo criterio con lo stesso nome perché Http 2.0 non supporta i certificati client. Audit, Disabled 3.1.0-deprecato
servizio app le app devono avere certificati client (certificati client in ingresso) abilitati I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. AuditIfNotExists, Disabled 1.0.0
servizio app le app devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso in un'app servizio app. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
servizio app le app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app La condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consenti solo ai domini necessari di interagire con l'app. AuditIfNotExists, Disabled 2.0.0
Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes deve essere installato e abilitato nei cluster Il componente aggiuntivo Criteri di Azure per il servizio Azure Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le tutele e misure di sicurezza su larga scala per i cluster in modo centralizzato e coerente. Audit, Disabled 1.0.2
Applicare le impostazioni di configurazione della sicurezza CMA_0249 - Applicare le impostazioni di configurazione della sicurezza Manuale, Disabilitato 1.1.0
Le app per le funzioni devono avere il debug remoto disattivato Il debug remoto richiede l'apertura delle porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. AuditIfNotExists, Disabled 2.0.0
Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. AuditIfNotExists, Disabled 2.0.0
Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.2.0
I contenitori del cluster Kubernetes non devono condividere lo spazio dei nomi IPC host o ID processo host Bloccare i contenitori di pod dalla condivisione dello spazio dei nomi dell'ID del processo host e dello spazio dei nomi IPC host in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.2 e CIS 5.2.3, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 5.1.0
I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.1.1
I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.1.0
I contenitori del cluster Kubernetes devono usare solo le immagini consentite Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.2.0
I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.2.0
I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.1.1
I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati Controllare gli ID utente, gruppo primario, gruppo supplementare e gruppo di file system che i pod e i contenitori possono usare per l'esecuzione in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.1.1
I pod del cluster Kubernetes devono usare solo la rete host e l'intervallo di porte approvati Limitare l'accesso dei pod alla rete host e all'intervallo di porte host consentito in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 6.1.0
Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 8.1.0
Il cluster Kubernetes non deve consentire contenitori con privilegi Non consentire la creazione di contenitori con privilegi in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 9.1.0
I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Kubernetes con abilitazione di Azure Arc. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. audit, Audit, Deny, Deny, disabled, Disabled 7.1.0
I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.2.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I computer Windows devono soddisfare i requisiti della baseline di sicurezza di calcolo di Azure Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo di Azure. AuditIfNotExists, Disabled 2.0.0

Gestione automatizzata, applicazione e verifica

ID: NIST SP 800-53 Rev. 5 CM-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare le impostazioni di configurazione della sicurezza CMA_0249 - Applicare le impostazioni di configurazione della sicurezza Manuale, Disabilitato 1.1.0
Gestire la conformità dei provider di servizi cloud CMA_0290 - Gestire la conformità dei provider di servizi cloud Manuale, Disabilitato 1.1.0
Visualizzare e configurare i dati di diagnostica del sistema CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema Manuale, Disabilitato 1.1.0

Funzionalità minima

ID: NIST SP 800-53 Rev. 5 CM-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3

Impedire l'esecuzione del programma

ID: NIST SP 800-53 Rev. 5 CM-7 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0

??? software autorizzato Consenti per eccezione

ID: NIST SP 800-53 Rev. 5 CM-7 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0

Inventario dei componenti di sistema

ID: NIST SP 800-53 Rev. 5 CM-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare un inventario dati CMA_0096 - Creare un inventario dati Manuale, Disabilitato 1.1.0
Gestire i record di trattamento dei dati personali CMA_0353 - Gestire i record di trattamento dei dati personali Manuale, Disabilitato 1.1.0

Aggiornamenti durante l'installazione e la rimozione

ID: NIST SP 800-53 Rev. 5 CM-8 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare un inventario dati CMA_0096 - Creare un inventario dati Manuale, Disabilitato 1.1.0
Gestire i record di trattamento dei dati personali CMA_0353 - Gestire i record di trattamento dei dati personali Manuale, Disabilitato 1.1.0

Rilevamento automatico dei componenti non autorizzati

ID: NIST SP 800-53 Rev. 5 CM-8 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Abilitare il rilevamento dei dispositivi di rete CMA_0220 - Abilitare il rilevamento dei dispositivi di rete Manuale, Disabilitato 1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Informazioni sulla responsabilità

ID: NIST SP 800-53 Rev. 5 CM-8 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare un inventario dati CMA_0096 - Creare un inventario dati Manuale, Disabilitato 1.1.0
Stabilire e gestire un inventario degli asset CMA_0266 - Stabilire e gestire un inventario degli asset Manuale, Disabilitato 1.1.0

Piano di gestione della configurazione

ID: NIST SP 800-53 Rev. 5 CM-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare la protezione del piano di configurazione CMA_C1233 - Creare la protezione del piano di configurazione Manuale, Disabilitato 1.1.0
Sviluppare e gestire configurazioni di base CMA_0153 - Sviluppare e gestire configurazioni di base Manuale, Disabilitato 1.1.0
Sviluppare un piano di identificazione degli elementi di configurazione CMA_C1231 - Sviluppare un piano di identificazione degli elementi di configurazione Manuale, Disabilitato 1.1.0
Sviluppare un piano di gestione della configurazione CMA_C1232 - Sviluppare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Stabilire e documentare un piano di gestione della configurazione CMA_0264 - Stabilire e documentare un piano di gestione della configurazione Manuale, Disabilitato 1.1.0
Implementare uno strumento di gestione della configurazione automatizzato CMA_0311 - Implementare uno strumento di gestione della configurazione automatizzato Manuale, Disabilitato 1.1.0

Restrizioni all'uso del software

ID: NIST SP 800-53 Rev. 5 CM-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0
Richiedere la conformità ai diritti di proprietà intellettuale CMA_0432 - Richiedere la conformità ai diritti di proprietà intellettuale Manuale, Disabilitato 1.1.0
Tenere traccia dell'utilizzo delle licenze software CMA_C1235 - Tenere traccia dell'utilizzo delle licenze software Manuale, Disabilitato 1.1.0

Software open source

ID: NIST SP 800-53 Rev. 5 CM-10 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Limitare l'uso del software open source CMA_C1237 - Limitare l'uso del software open source Manuale, Disabilitato 1.1.0

Software installato dall'utente

ID: NIST SP 800-53 Rev. 5 CM-11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
I controlli applicazioni adattivi per la definizione delle applicazioni sicure devono essere abilitati nei computer Abilita i controlli applicazioni per definire l'elenco delle applicazioni sicure note in esecuzione nei computer e avvisare l'utente quando vengono eseguite altre applicazioni. In questo modo si rafforza la protezione dei computer dal malware. Per semplificare il processo di configurazione e gestione delle regole, il Centro sicurezza usa Machine Learning per analizzare le applicazioni in esecuzione in ogni computer e suggerire l'elenco di applicazioni sicure note. AuditIfNotExists, Disabled 3.0.0
Le regole dell'elenco Consentiti dei criteri dei controlli applicazioni adattivi devono essere aggiornate Monitora le variazioni del comportamento nei gruppi di computer configurati per il controllo mediante i controlli applicazioni adattativi del Centro sicurezza di Azure. Il Centro sicurezza usa Machine Learning per analizzare i processi in esecuzione nei computer e suggerire un elenco di applicazioni sicure. Queste vengono presentate come app consigliate da consentire nei criteri dei controlli applicazioni adattivi. AuditIfNotExists, Disabled 3.0.0

Piani di emergenza

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 CP-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di pianificazione dell'emergenza CMA_C1243 - Esaminare e aggiornare i criteri e le procedure di pianificazione dell'emergenza Manuale, Disabilitato 1.1.0

Piano di emergenza

ID: NIST SP 800-53 Rev. 5 CP-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Comunicare le modifiche del piano di emergenza CMA_C1249 - Comunicare le modifiche del piano di emergenza Manuale, Disabilitato 1.1.0
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza CMA_0146 - Sviluppare e documentare un piano di continuità aziendale e ripristino di emergenza Manuale, Disabilitato 1.1.0
Sviluppare un piano di emergenza CMA_C1244 - Sviluppare un piano di emergenza Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di pianificazione dell'emergenza CMA_0156 - Sviluppare criteri e procedure di pianificazione dell'emergenza Manuale, Disabilitato 1.1.0
Distribuire criteri e procedure CMA_0185 - Distribuire criteri e procedure Manuale, Disabilitato 1.1.0
Esaminare il piano di emergenza CMA_C1247 - Esaminare il piano di emergenza Manuale, Disabilitato 1.1.0
Aggiornare il piano di emergenza CMA_C1248 - Aggiornare il piano di emergenza Manuale, Disabilitato 1.1.0

ID: NIST SP 800-53 Rev. 5 CP-2 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0

Capacity Planning

ID: NIST SP 800-53 Rev. 5 CP-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Pianificare la capacità CMA_C1252 - Pianificare la capacità Manuale, Disabilitato 1.1.0

Resume Mission and Business Functions

ID: NIST SP 800-53 Rev. 5 CP-2 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Pianificare la ripresa delle funzioni aziendali essenziali CMA_C1253 - Pianificare la ripresa delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0

Continue Mission and Business Functions

ID: NIST SP 800-53 Rev. 5 CP-2 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Pianificare la continuazione delle funzioni aziendali essenziali CMA_C1255 - Pianificare la continuazione delle funzioni aziendali essenziali Manuale, Disabilitato 1.1.0

Identificare gli asset critici

ID: NIST SP 800-53 Rev. 5 CP-2 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire una valutazione dell'impatto aziendale e una valutazione della criticità dell'applicazione CMA_0386 - Eseguire una valutazione dell'impatto aziendale e una valutazione della criticità dell'applicazione Manuale, Disabilitato 1.1.0

Formazione per la gestione delle emergenze

ID: NIST SP 800-53 Rev. 5 CP-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione per l'emergenza CMA_0412 - Fornire formazione per l'emergenza Manuale, Disabilitato 1.1.0

Eventi simulati

ID: NIST SP 800-53 Rev. 5 CP-3 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Incorporare il training di emergenza simulato CMA_C1260 - Incorporare il training di emergenza simulato Manuale, Disabilitato 1.1.0

Test del piano di emergenza

ID: NIST SP 800-53 Rev. 5 CP-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avviare le azioni correttive del piano di emergenza CMA_C1263 - Avviare le azioni correttive del piano di emergenza Manuale, Disabilitato 1.1.0
Esaminare i risultati dei test del piano di emergenza CMA_C1262 - Esaminare i risultati dei test del piano di emergenza Manuale, Disabilitato 1.1.0
Testare il piano di continuità aziendale e ripristino di emergenza CMA_0509 - Testare il piano di continuità aziendale e ripristino di emergenza Manuale, Disabilitato 1.1.0

ID: NIST SP 800-53 Rev. 5 CP-4 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0

Sito di elaborazione alternativo

ID: NIST SP 800-53 Rev. 5 CP-4 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare le funzionalità del sito di elaborazione alternative CMA_C1266 - Valutare le funzionalità del sito di elaborazione alternative Manuale, Disabilitato 1.1.0
Testare il piano di emergenza in un percorso di elaborazione alternativo CMA_C1265 - Testare il piano di emergenza in un percorso di elaborazione alternativo Manuale, Disabilitato 1.1.0

Sito di archiviazione alternativo

ID: NIST SP 800-53 Rev. 5 CP-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assicurarsi che le misure di sicurezza del sito di archiviazione alternative siano equivalenti al sito primario CMA_C1268 - Assicurarsi che le misure di sicurezza alternative del sito di archiviazione siano equivalenti al sito primario Manuale, Disabilitato 1.1.0
Stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup CMA_C1267 : stabilire un sito di archiviazione alternativo per archiviare e recuperare le informazioni di backup Manuale, Disabilitato 1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione Usare la ridondanza geografica per creare applicazioni a disponibilità elevata Audit, Disabled 1.0.0
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. AuditIfNotExists, Disabled 2.0.0

Separazione dal sito primario

ID: NIST SP 800-53 Rev. 5 CP-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare siti di archiviazione alternativi e primari separati CMA_C1269 - Creare siti di archiviazione alternativi e primari separati Manuale, Disabilitato 1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
L'archiviazione con ridondanza geografica deve essere abilitata per gli account di archiviazione Usare la ridondanza geografica per creare applicazioni a disponibilità elevata Audit, Disabled 1.0.0
Il backup con ridondanza geografica a lungo termine deve essere abilitato per i database SQL di Azure Questo criterio controlla tutti i database SQL di Azure in cui non è abilitato il backup con ridondanza geografica a lungo termine. AuditIfNotExists, Disabled 2.0.0

Obiettivi del tempo di ripristino e del punto di ripristino

ID: NIST SP 800-53 Rev. 5 CP-6 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino CMA_C1270 : stabilire un sito di archiviazione alternativo che facilita le operazioni di ripristino Manuale, Disabilitato 1.1.0

Accessibilità

ID: NIST SP 800-53 Rev. 5 CP-6 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo CMA_C1271 - Identificare e attenuare potenziali problemi in un sito di archiviazione alternativo Manuale, Disabilitato 1.1.0

Sito di elaborazione alternativo

ID: NIST SP 800-53 Rev. 5 CP-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controlla macchine virtuali in cui non è configurato il ripristino di emergenza Controlla le macchine virtuali in cui non è configurato il ripristino di emergenza. Per altre informazioni sul ripristino di emergenza, vedere https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Stabilire un sito di elaborazione alternativo CMA_0262 - Stabilire un sito di elaborazione alternativo Manuale, Disabilitato 1.1.0

Separazione dal sito primario

ID: NIST SP 800-53 Rev. 5 CP-7 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire un sito di elaborazione alternativo CMA_0262 - Stabilire un sito di elaborazione alternativo Manuale, Disabilitato 1.1.0

Accessibilità

ID: NIST SP 800-53 Rev. 5 CP-7 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire un sito di elaborazione alternativo CMA_0262 - Stabilire un sito di elaborazione alternativo Manuale, Disabilitato 1.1.0

Priorità del servizio

ID: NIST SP 800-53 Rev. 5 CP-7 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire un sito di elaborazione alternativo CMA_0262 - Stabilire un sito di elaborazione alternativo Manuale, Disabilitato 1.1.0
Stabilire i requisiti per i provider di servizi Internet CMA_0278 - Stabilire i requisiti per i provider di servizi Internet Manuale, Disabilitato 1.1.0

Preparazione per l'uso

ID: NIST SP 800-53 Rev. 5 CP-7 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Preparare il sito di elaborazione alternativo per l'uso come sito operativo CMA_C1278 - Preparare il sito di elaborazione alternativo da usare come sito operativo Manuale, Disabilitato 1.1.0

Priorità delle disposizioni del servizio

ID: NIST SP 800-53 Rev. 5 CP-8 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire i requisiti per i provider di servizi Internet CMA_0278 - Stabilire i requisiti per i provider di servizi Internet Manuale, Disabilitato 1.1.0

Backup del sistema

ID: NIST SP 800-53 Rev. 5 CP-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
La soluzione Backup di Azure deve essere abilitata per le macchine virtuali È possibile garantire la protezione delle macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati per Azure sicura e conveniente. AuditIfNotExists, Disabled 3.0.0
Eseguire il backup della documentazione del sistema informativo CMA_C1289 - Eseguire il backup della documentazione del sistema informativo Manuale, Disabilitato 1.1.0
Stabilire criteri e procedure di backup CMA_0268 - Stabilire criteri e procedure di backup Manuale, Disabilitato 1.1.0
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MariaDB Il database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per MySQL Il database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Il backup con ridondanza geografica deve essere abilitato per i database di Azure per PostgreSQL Il database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. Audit, Disabled 1.0.1
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gli insiemi di credenziali delle chiavi devono avere la protezione dell'eliminazione abilitata L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione né Microsoft sarà in grado di rimuovere definitivamente gli insiemi di credenziali delle chiavi durante il periodo di conservazione associato all'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. Audit, Deny, Disabled 2.1.0
Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. Audit, Deny, Disabled 3.0.0

Archiviazione separate per informazioni critiche

ID: NIST SP 800-53 Rev. 5 CP-9 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Archiviare separatamente le informazioni di backup CMA_C1293 - Archiviare separatamente le informazioni di backup Manuale, Disabilitato 1.1.0

Trasferimento in un sito di Archiviazione alternativo

ID: NIST SP 800-53 Rev. 5 CP-9 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Trasferire le informazioni di backup in un sito di archiviazione alternativo CMA_C1294 - Trasferire le informazioni di backup in un sito di archiviazione alternativo Manuale, Disabilitato 1.1.0

Ripristino e ricostituzione del sistema

ID: NIST SP 800-53 Rev. 5 CP-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ripristinare e ricostituire le risorse dopo eventuali interruzioni CMA_C1295 - Ripristinare e ricostituire le risorse dopo qualsiasi interruzione Manuale, Disabilitato 1.1.1

Recupero delle transazioni

ID: NIST SP 800-53 Rev. 5 CP-10 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare il ripristino basato sulle transazioni CMA_C1296 - Implementare il ripristino basato sulle transazioni Manuale, Disabilitato 1.1.0

Ripristino entro il periodo di tempo

ID: NIST SP 800-53 Rev. 5 CP-10 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ripristinare lo stato operativo delle risorse CMA_C1297 - Ripristinare le risorse allo stato operativo Manuale, Disabilitato 1.1.1

Identificazione e autenticazione

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 IA-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure di identificazione e autenticazione CMA_C1299 - Esaminare e aggiornare criteri e procedure di identificazione e autenticazione Manuale, Disabilitato 1.1.0

Identificazione e autenticazione (utenti dell'organizzazione)

ID: NIST SP 800-53 Rev. 5 IA-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
servizio app le app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Applicare l'univocità dell'utente CMA_0250 - Imporre l'univocità dell'utente Manuale, Disabilitato 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0
Supportare le credenziali di verifica personali rilasciate dalle autorità legali CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali Manuale, Disabilitato 1.1.0

Autenticazione a più fattori in account con privilegi

ID: NIST SP 800-53 Rev. 5 IA-2 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gli account con autorizzazioni di proprietario per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con autorizzazioni di proprietario per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Gli account con autorizzazioni di scrittura per le risorse di Azure devono essere abilitati per MFA È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di scrittura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005 - Adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0

Autenticazione a più fattori in account senza privilegi

ID: NIST SP 800-53 Rev. 5 IA-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gli account con autorizzazioni di lettura per le risorse di Azure devono essere abilitati per L'autenticazione a più fattori È necessario abilitare Multi-Factor Authentication (MFA) per tutti gli account della sottoscrizione con privilegi di lettura per evitare una violazione di account o risorse. AuditIfNotExists, Disabled 1.0.0
Adottare meccanismi di autenticazione biometrica CMA_0005 - Adottare meccanismi di autenticazione biometrica Manuale, Disabilitato 1.1.0

Autenticazione singola con autenticazione di gruppo

ID: NIST SP 800-53 Rev. 5 IA-2 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Richiedere l'uso di singoli autenticatori CMA_C1305 - Richiedere l'uso di singoli autenticatori Manuale, Disabilitato 1.1.0

Accettazione delle credenziali PIV

ID: NIST SP 800-53 Rev. 5 IA-2 (12) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Supportare le credenziali di verifica personali rilasciate dalle autorità legali CMA_0507 - Supportare le credenziali di verifica personali rilasciate dalle autorità legali Manuale, Disabilitato 1.1.0

Gestione identificatori

ID: NIST SP 800-53 Rev. 5 IA-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile effettuare il provisioning di un amministratore di Azure Active Directory per i server SQL Controlla il provisioning di un amministratore di Azure Active Directory per il server SQL per abilitare l'autenticazione di Azure AD. L'autenticazione di Azure AD consente una gestione semplificata delle autorizzazioni e una gestione centralizzata delle identità di utenti di database e di altri servizi Microsoft AuditIfNotExists, Disabled 1.0.0
servizio app le app devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Assegnare identificatori di sistema CMA_0018 - Assegnare identificatori di sistema Manuale, Disabilitato 1.1.0
Le risorse di Servizi di intelligenza artificiale di Azure devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alle chiavi e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth Audit, Deny, Disabled 1.1.0
Le app per le funzioni devono usare l'identità gestita Usare un'identità gestita per la protezione avanzata dell'autenticazione AuditIfNotExists, Disabled 3.0.0
Impedire il riutilizzo dell'identificatore per il periodo di tempo definito CMA_C1314 - Impedire il riutilizzo dell'identificatore per il periodo di tempo definito Manuale, Disabilitato 1.1.0
I cluster di Service Fabric deve usare solo Azure Active Directory per l'autenticazione client Controlla l'utilizzo dell'autenticazione client solo tramite Azure Active Directory in Service Fabric Audit, Deny, Disabled 1.1.0

Identificare lo stato utente

ID: NIST SP 800-53 Rev. 5 IA-4 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare lo stato dei singoli utenti CMA_C1316 - Identificare lo stato dei singoli utenti Manuale, Disabilitato 1.1.0

Gestione autenticatori

ID: NIST SP 800-53 Rev. 5 IA-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
L'autenticazione nei computer Linux deve richiedere chiavi SSH Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux di Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
I certificati devono avere il periodo di validità massimo specificato Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. audit, Audit, Deny, Deny, disabled, Disabled 2.2.1
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Stabilire tipi e processi di autenticazione CMA_0267 - Stabilire tipi e processi di autenticazione Manuale, Disabilitato 1.1.0
Stabilire procedure per la distribuzione iniziale dell'autenticatore CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore Manuale, Disabilitato 1.1.0
Implementare il training per la protezione degli autenticatori CMA_0329 - Implementare il training per la protezione degli autenticatori Manuale, Disabilitato 1.1.0
Le chiavi degli insiemi di credenziali delle chiavi devono avere una data di scadenza Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
I segreti degli insiemi di credenziali delle chiavi devono avere una data di scadenza I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. Audit, Deny, Disabled 1.0.2
Gestire la durata e il riutilizzo dell'autenticatore CMA_0355 - Gestire la durata e il riutilizzo dell'autenticatore Manuale, Disabilitato 1.1.0
Gestire gli autenticatori CMA_C1321 - Gestire gli autenticatori Manuale, Disabilitato 1.1.0
Aggiornare gli autenticatori CMA_0425 - Aggiornare gli autenticatori Manuale, Disabilitato 1.1.0
Eseguire nuovamente gli autenticatori per i gruppi e gli account modificati CMA_0426 - Autenticatori di riemissione per gruppi e account modificati Manuale, Disabilitato 1.1.0
Verificare l'identità prima di distribuire gli autenticatori CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori Manuale, Disabilitato 1.1.0

Autenticazione basata su password

ID: NIST SP 800-53 Rev. 5 IA-5 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali senza identità Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest ma che non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Aggiungi l'identità gestita assegnata dal sistema per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali con un'identità assegnata dall'utente Questo criterio aggiunge un'identità gestita assegnata dal sistema alle macchine virtuali ospitate in Azure supportate da Configurazione guest e che hanno almeno un'identità assegnata dall'utente, ma non hanno un'identità gestita assegnata dal sistema. Un'identità gestita assegnata dal sistema è un prerequisito per tutte le assegnazioni di Configurazione guest e deve essere aggiunta ai computer prima di usare qualsiasi definizione di criteri di Configurazione guest. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. modify 4.1.0
Controlla i computer Linux in cui le autorizzazioni per il file passwd non sono impostate su 0644 Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Linux le autorizzazioni per il file passwd non sono impostate su 0644 AuditIfNotExists, Disabled 3.1.0
Controlla i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che consentono di riutilizzare le password dopo il numero specificato di password univoche. Il valore predefinito per le password univoche è 24 AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità massima della password impostata sul numero di giorni specificato. Il valore predefinito per la validità massima della password è 70 giorni AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non hanno la validità minima della password impostata sul numero di giorni specificato Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non hanno la validità minima della password impostata sul numero specificato di giorni. Il valore predefinito per l'età minima della password è 1 giorno AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows in cui non è abilitata l'impostazione relativa alla complessità della password Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se nei computer Windows non è abilitata l'impostazione relativa alla complessità della password AuditIfNotExists, Disabled 2.0.0
Controlla i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se i computer Windows che non limitano la lunghezza minima della password al numero specificato di caratteri. Il valore predefinito per la lunghezza minima della password è di 14 caratteri AuditIfNotExists, Disabled 2.1.0
Controlla i computer Windows che non archiviano le password usando la crittografia reversibile Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer saranno non conformi se i computer Windows non archiviano le password usando la crittografia reversibile AuditIfNotExists, Disabled 2.0.0
Distribuisci l'estensione Configurazione guest Linux per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Linux Questo criterio distribuisce l'estensione Configurazione guest di Linux nelle macchine virtuali Linux ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest Linux è un prerequisito per tutte le assegnazioni di configurazione guest Linux e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest Linux. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 3.1.0
Distribuisci l'estensione Configurazione guest Windows per abilitare le assegnazioni di Configurazione guest nelle macchine virtuali Windows Questo criterio distribuisce l'estensione Configurazione guest di Windows nelle macchine virtuali Windows ospitate in Azure supportate da Configurazione guest. L'estensione Configurazione guest di Windows è un prerequisito per tutte le assegnazioni di Configurazione guest di Windows e deve essere distribuita nei computer prima di usare qualsiasi definizione di criteri di configurazione guest di Windows. Per altre informazioni su Configurazione guest, vedere https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentare i requisiti di sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire un criterio password CMA_0256 - Stabilire un criterio password Manuale, Disabilitato 1.1.0
Implementare i parametri per i verificatori segreti memorizzati CMA_0321 - Implementare i parametri per i verificatori segreti memorizzati Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0

Autenticazione basata su chiave pubblica

ID: NIST SP 800-53 Rev. 5 IA-5 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Associare autenticatori e identità in modo dinamico CMA_0035 - Associare autenticatori e identità in modo dinamico Manuale, Disabilitato 1.1.0
Stabilire tipi e processi di autenticazione CMA_0267 - Stabilire tipi e processi di autenticazione Manuale, Disabilitato 1.1.0
Stabilire i parametri per la ricerca di autenticatori e verificatori dei segreti CMA_0274 : stabilire i parametri per la ricerca di autenticatori e verificatori dei segreti Manuale, Disabilitato 1.1.0
Stabilire procedure per la distribuzione iniziale dell'autenticatore CMA_0276 - Stabilire procedure per la distribuzione iniziale dell'autenticatore Manuale, Disabilitato 1.1.0
Eseguire il mapping delle identità autenticate ai singoli utenti CMA_0372 - Eseguire il mapping delle identità autenticate a singoli utenti Manuale, Disabilitato 1.1.0
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0
Verificare l'identità prima di distribuire gli autenticatori CMA_0538 - Verificare l'identità prima di distribuire gli autenticatori Manuale, Disabilitato 1.1.0

Protezione degli autenticatori

ID: NIST SP 800-53 Rev. 5 IA-5 (6) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assicurarsi che gli utenti autorizzati proteggano gli autenticatori forniti CMA_C1339 - Assicurarsi che gli utenti autorizzati proteggano gli autenticatori forniti Manuale, Disabilitato 1.1.0

Nessun autenticatore statico non crittografato incorporato

ID: NIST SP 800-53 Rev. 5 IA-5 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare che non siano presenti autenticatori statici non crittografati CMA_C1340 - Assicurarsi che non siano presenti autenticatori statici non crittografati Manuale, Disabilitato 1.1.0

Scadenza degli autenticatori memorizzati nella cache

ID: NIST SP 800-53 Rev. 5 IA-5 (13) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Applicare la scadenza degli autenticatori memorizzati nella cache CMA_C1343 - Applicare la scadenza degli autenticatori memorizzati nella cache Manuale, Disabilitato 1.1.0

Commenti e suggerimenti per l'autenticazione

ID: NIST SP 800-53 Rev. 5 IA-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Nascondere le informazioni di feedback durante il processo di autenticazione CMA_C1344 - Nascondere le informazioni sul feedback durante il processo di autenticazione Manuale, Disabilitato 1.1.0

Autenticazione del modulo di crittografia

ID: NIST SP 800-53 Rev. 5 IA-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire l'autenticazione al modulo di crittografia CMA_0021 - Eseguire l'autenticazione al modulo di crittografia Manuale, Disabilitato 1.1.0

Identificazione e autenticazione (utenti non aziendali)

ID: NIST SP 800-53 Rev. 5 IA-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare e autenticare utenti non aziendali CMA_C1346 - Identificare e autenticare gli utenti non aziendali Manuale, Disabilitato 1.1.0

Accettazione delle credenziali PIV da altre agenzie

ID: NIST SP 800-53 Rev. 5 IA-8 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Accettare le credenziali PIV CMA_C1347 - Accettare le credenziali PIV Manuale, Disabilitato 1.1.0

Accettazione di autenticatori esterni

ID: NIST SP 800-53 Rev. 5 IA-8 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Accettare solo le credenziali di terze parti approvate da FICAM CMA_C1348 - Accettare solo le credenziali di terze parti approvate da FICAM Manuale, Disabilitato 1.1.0

Uso di profili definiti

ID: NIST SP 800-53 Rev. 5 IA-8 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Conforme ai profili emessi da FICAM CMA_C1350 : conforme ai profili rilasciati da FICAM Manuale, Disabilitato 1.1.0

Risposta all'incidente

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 IR-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti CMA_C1352 - Esaminare e aggiornare i criteri e le procedure di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0

Formazione in materia di risposta agli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione sulla perdita di informazioni CMA_0413 - Fornire formazione sulla perdita di informazioni Manuale, Disabilitato 1.1.0

Eventi simulati

ID: NIST SP 800-53 Rev. 5 IR-2 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Incorporare eventi simulati nel training di risposta agli eventi imprevisti CMA_C1356 - Incorporare eventi simulati in formazione sulla risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0

Ambienti di training automatizzati

ID: NIST SP 800-53 Rev. 5 IR-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un ambiente di training automatizzato CMA_C1357 - Usare un ambiente di training automatizzato Manuale, Disabilitato 1.1.0

Test sulla risposta agli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire test di risposta agli eventi imprevisti CMA_0060 - Eseguire test di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

ID: NIST SP 800-53 Rev. 5 IR-3 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire test di risposta agli eventi imprevisti CMA_0060 - Eseguire test di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Stabilire un programma di sicurezza delle informazioni CMA_0263 - Stabilire un programma di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

Gestione degli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare gli eventi di sicurezza delle informazioni CMA_0013 - Valutare gli eventi di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Coordinare i piani di emergenza con i piani correlati CMA_0086 - Coordinare i piani di emergenza con i piani correlati Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Sviluppare misure di sicurezza CMA_0161 - Sviluppare misure di sicurezza Manuale, Disabilitato 1.1.0
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.0.0
Abilitare la protezione di rete CMA_0238 - Abilitare la protezione di rete Manuale, Disabilitato 1.1.0
Eradicare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta alla perdita di informazioni CMA_0281 - Eseguire azioni in risposta a spill di informazioni Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi imprevisti CMA_0318 - Implementare la gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0
Gestire il piano di risposta agli eventi imprevisti CMA_0352 - Gestire il piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire un'analisi delle tendenze sulle minacce CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce Manuale, Disabilitato 1.1.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

Processi automatizzati di gestione degli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-4 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Abilitare la protezione di rete CMA_0238 - Abilitare la protezione di rete Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi imprevisti CMA_0318 - Implementare la gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0

Riconfigurazione dinamica

ID: NIST SP 800-53 Rev. 5 IR-4 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Includere la riconfigzione dinamica delle risorse distribuite dai clienti CMA_C1364 - Includere la riconfigzione dinamica delle risorse distribuite dai clienti Manuale, Disabilitato 1.1.0

Continuità delle operazioni

ID: NIST SP 800-53 Rev. 5 IR-4 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare le classi di eventi imprevisti e azioni eseguite CMA_C1365 - Identificare le classi di eventi imprevisti e azioni eseguite Manuale, Disabilitato 1.1.0

Correlazione delle informazioni

ID: NIST SP 800-53 Rev. 5 IR-4 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la gestione degli eventi imprevisti CMA_0318 - Implementare la gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0

Minacce Interne

ID: NIST SP 800-53 Rev. 5 IR-4 (6) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la funzionalità di gestione degli eventi imprevisti CMA_C1367 - Implementare la funzionalità di gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0

Correlazione con organizzazioni esterne

ID: NIST SP 800-53 Rev. 5 IR-4 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Coordinarsi con organizzazioni esterne per ottenere una prospettiva cross-org CMA_C1368 - Coordinarsi con organizzazioni esterne per ottenere una prospettiva incrociata dell'organizzazione Manuale, Disabilitato 1.1.0

Monitoraggio degli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Creazione di report automatizzati

ID: NIST SP 800-53 Rev. 5 IR-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Operazioni di sicurezza dei documenti CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0

ID: NIST SP 800-53 Rev. 5 IR-6 (2) Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.0.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Assistenza nella risposta agli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Operazioni di sicurezza dei documenti CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0

Supporto di automazione per la disponibilità di informazioni e supporto

ID: NIST SP 800-53 Rev. 5 IR-7 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Abilitare la protezione di rete CMA_0238 - Abilitare la protezione di rete Manuale, Disabilitato 1.1.0
Eradicare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta alla perdita di informazioni CMA_0281 - Eseguire azioni in risposta a spill di informazioni Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi imprevisti CMA_0318 - Implementare la gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze sulle minacce CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce Manuale, Disabilitato 1.1.0
Visualizzare e analizzare gli utenti con restrizioni CMA_0545 - Visualizzare e analizzare gli utenti con restrizioni Manuale, Disabilitato 1.1.0

Coordinamento con provider esterni

ID: NIST SP 800-53 Rev. 5 IR-7 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni CMA_C1376 - Stabilire una relazione tra la funzionalità di risposta agli eventi imprevisti e i provider esterni Manuale, Disabilitato 1.1.0
Identificare il personale di risposta agli eventi imprevisti CMA_0301 - Identificare il personale di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0

Piano di risposta agli eventi imprevisti

ID: NIST SP 800-53 Rev. 5 IR-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare gli eventi di sicurezza delle informazioni CMA_0013 - Valutare gli eventi di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Implementare la gestione degli eventi imprevisti CMA_0318 - Implementare la gestione degli eventi imprevisti Manuale, Disabilitato 1.1.0
Gestire i record di violazione dei dati CMA_0351 - Gestire i record di violazione dei dati Manuale, Disabilitato 1.1.0
Gestire il piano di risposta agli eventi imprevisti CMA_0352 - Gestire il piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Proteggere il piano di risposta agli eventi imprevisti CMA_0405 - Proteggere il piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0

Risposta alla perdita di informazioni

ID: NIST SP 800-53 Rev. 5 IR-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale della fuga di informazioni CMA_0007 - Avvisare il personale della fuga di informazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Eradicare le informazioni contaminate CMA_0253 - Eliminare le informazioni contaminate Manuale, Disabilitato 1.1.0
Eseguire azioni in risposta alla perdita di informazioni CMA_0281 - Eseguire azioni in risposta a spill di informazioni Manuale, Disabilitato 1.1.0
Identificare i sistemi e i componenti contaminati CMA_0300 - Identificare i sistemi e i componenti contaminati Manuale, Disabilitato 1.1.0
Identificare le informazioni distribuite CMA_0303 - Identificare le informazioni distribuite Manuale, Disabilitato 1.1.0
Isolare le perdite di informazioni CMA_0346 - Isolare le perdite di informazioni Manuale, Disabilitato 1.1.0

Formazione

ID: NIST SP 800-53 Rev. 5 IR-9 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire formazione sulla perdita di informazioni CMA_0413 - Fornire formazione sulla perdita di informazioni Manuale, Disabilitato 1.1.0

Operazioni post-spill

ID: NIST SP 800-53 Rev. 5 IR-9 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare procedure di risposta alla perdita di dati CMA_0162 - Sviluppare procedure di risposta alla perdita di dati Manuale, Disabilitato 1.1.0

Esposizione a personale non autorizzato

ID: NIST SP 800-53 Rev. 5 IR-9 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare misure di sicurezza CMA_0161 - Sviluppare misure di sicurezza Manuale, Disabilitato 1.1.0

Gestione

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 MA-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di manutenzione del sistema CMA_C1395 - Esaminare e aggiornare i criteri e le procedure di manutenzione del sistema Manuale, Disabilitato 1.1.0

Manutenzione controllata

ID: NIST SP 800-53 Rev. 5 MA-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Attività di manutenzione automatizzate

ID: NIST SP 800-53 Rev. 5 MA-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare le attività di manutenzione remota CMA_C1402 - Automatizzare le attività di manutenzione remota Manuale, Disabilitato 1.1.0
Produrre record completi delle attività di manutenzione remota CMA_C1403 - Produrre record completi delle attività di manutenzione remota Manuale, Disabilitato 1.1.0

Strumenti di manutenzione

ID: NIST SP 800-53 Rev. 5 MA-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Esaminare gli strumenti

ID: NIST SP 800-53 Rev. 5 MA-3 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Esaminare i supporti

ID: NIST SP 800-53 Rev. 5 MA-3 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Impedisci rimozione non autorizzata

ID: NIST SP 800-53 Rev. 5 MA-3 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le attività di manutenzione e riparazione CMA_0080 - Controllare le attività di manutenzione e riparazione Manuale, Disabilitato 1.1.0
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Manutenzione non locale

ID: NIST SP 800-53 Rev. 5 MA-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire attività di manutenzione e diagnostica non locali CMA_0364 - Gestire attività di manutenzione e diagnostica non locali Manuale, Disabilitato 1.1.0

Sicurezza e purificazione paragonabili

ID: NIST SP 800-53 Rev. 5 MA-4 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire tutte le operazioni di manutenzione non locali CMA_C1417 - Eseguire tutte le operazioni di manutenzione non locali Manuale, Disabilitato 1.1.0

Protezione crittografica

ID: NIST SP 800-53 Rev. 5 MA-4 (6) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare meccanismi di crittografia CMA_C1419 - Implementare meccanismi di crittografia Manuale, Disabilitato 1.1.0

Personale addetto alla manutenzione

ID: NIST SP 800-53 Rev. 5 MA-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Designare il personale per la supervisione di attività di manutenzione non autorizzate CMA_C1422 - Designare il personale per la supervisione di attività di manutenzione non autorizzate Manuale, Disabilitato 1.1.0
Mantenere l'elenco del personale di manutenzione remota autorizzato CMA_C1420 - Mantieni l'elenco del personale di manutenzione remota autorizzato Manuale, Disabilitato 1.1.0
Gestire il personale di manutenzione CMA_C1421 - Gestire il personale di manutenzione Manuale, Disabilitato 1.1.0

Utenti senza accesso appropriato

ID: NIST SP 800-53 Rev. 5 MA-5 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Manutenzione tempestiva

ID: NIST SP 800-53 Rev. 5 MA-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Fornire supporto tempestivo per la manutenzione CMA_C1425 - Fornire supporto tempestivo per la manutenzione Manuale, Disabilitato 1.1.0

Protezione dei supporti

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 MP-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di protezione dei supporti CMA_C1427 - Esaminare e aggiornare i criteri e le procedure di protezione dei supporti Manuale, Disabilitato 1.1.0

Accesso ai file multimediali

ID: NIST SP 800-53 Rev. 5 MP-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Contrassegno dei supporti

ID: NIST SP 800-53 Rev. 5 MP-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Conservazione dei supporti

ID: NIST SP 800-53 Rev. 5 MP-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Trasporto dei supporti

ID: NIST SP 800-53 Rev. 5 MP-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Gestire il trasporto delle risorse CMA_0370 - Gestire il trasporto delle risorse Manuale, Disabilitato 1.1.0

Purificazione dei supporti

ID: NIST SP 800-53 Rev. 5 MP-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Esaminare, approvare, tenere traccia, documentare e verificare

ID: NIST SP 800-53 Rev. 5 MP-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Test delle apparecchiature

ID: NIST SP 800-53 Rev. 5 MP-6 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare un meccanismo di purificazione dei supporti CMA_0208 - Usare un meccanismo di purificazione dei supporti Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0

Uso dei supporti

ID: NIST SP 800-53 Rev. 5 MP-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Bloccare processi non attendibili e non firmati eseguiti da USB CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
Controllare l'uso di dispositivi di archiviazione portatili CMA_0083 - Controllare l'uso di dispositivi di archiviazione portatili Manuale, Disabilitato 1.1.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
Limitare l'uso dei supporti CMA_0450 - Limitare l'uso dei supporti Manuale, Disabilitato 1.1.0

Protezione fisica e dell'ambiente

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 PE-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure fisici e ambientali CMA_C1446 - Rivedere e aggiornare criteri e procedure fisiche e ambientali Manuale, Disabilitato 1.1.0

Autorizzazioni di accesso fisico

ID: NIST SP 800-53 Rev. 5 PE-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0

Controllo dell'accesso fisico

ID: NIST SP 800-53 Rev. 5 PE-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Stabilire e gestire un inventario degli asset CMA_0266 - Stabilire e gestire un inventario degli asset Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Controllo di accesso per la trasmissione

ID: NIST SP 800-53 Rev. 5 PE-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Controllo di accesso per dispositivi di output

ID: NIST SP 800-53 Rev. 5 PE-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati Manuale, Disabilitato 1.1.0

Allarmi di intrusione e apparecchiature di sorveglianza

ID: NIST SP 800-53 Rev. 5 PE-6 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Installare un sistema di allarme CMA_0338 - Installare un sistema di allarme Manuale, Disabilitato 1.1.0
Gestire un sistema di telecamere di sorveglianza sicuro CMA_0354 - Gestire un sistema di telecamera di sorveglianza sicura Manuale, Disabilitato 1.1.0

Record di accesso dei visitatori

ID: NIST SP 800-53 Rev. 5 PE-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Illuminazione di emergenza

ID: NIST SP 800-53 Rev. 5 PE-12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare l'illuminazione automatica di emergenza CMA_0209 - Usare l'illuminazione automatica di emergenza Manuale, Disabilitato 1.1.0

Protezione antincendio

ID: NIST SP 800-53 Rev. 5 PE-13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

??? dei sistemi di rilevamento Attivazione automatica e notifica

ID: NIST SP 800-53 Rev. 5 PE-13 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare una metodologia di test di penetrazione CMA_0306 - Implementare una metodologia di test di penetrazione Manuale, Disabilitato 1.1.0
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0
Eseguire attacchi di simulazione CMA_0486 - Eseguire attacchi di simulazione Manuale, Disabilitato 1.1.0

Sistemi di eliminazione ??? Attivazione automatica e notifica

ID: NIST SP 800-53 Rev. 5 PE-13 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Controlli ambientali

ID: NIST SP 800-53 Rev. 5 PE-14 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Monitoraggio con allarmi e notifiche

ID: NIST SP 800-53 Rev. 5 PE-14 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0
Installare un sistema di allarme CMA_0338 - Installare un sistema di allarme Manuale, Disabilitato 1.1.0

Protezione dai danni idrici

ID: NIST SP 800-53 Rev. 5 PE-15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Recapito e rimozione

ID: NIST SP 800-53 Rev. 5 PE-16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire i requisiti per la gestione degli asset CMA_0125 - Definire i requisiti per la gestione degli asset Manuale, Disabilitato 1.1.0
Gestire il trasporto delle risorse CMA_0370 - Gestire il trasporto delle risorse Manuale, Disabilitato 1.1.0

Sede di lavoro alternativa

ID: NIST SP 800-53 Rev. 5 PE-17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare controlli per proteggere i siti di lavoro alternativi CMA_0315 - Implementare controlli per proteggere i siti di lavoro alternativi Manuale, Disabilitato 1.1.0

Posizione dei componenti di sistema

ID: NIST SP 800-53 Rev. 5 PE-18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure CMA_0323 - Implementare la sicurezza fisica per uffici, aree di lavoro e aree sicure Manuale, Disabilitato 1.1.0

Pianificazione

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 PL-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure di pianificazione CMA_C1491 - Esaminare e aggiornare i criteri e le procedure di pianificazione Manuale, Disabilitato 1.1.0

Piani di sicurezza e privacy del sistema

ID: NIST SP 800-53 Rev. 5 PL-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare e definire un piano di sicurezza del sistema CMA_0151 - Sviluppare e definire un piano di sicurezza del sistema Manuale, Disabilitato 1.1.0
Sviluppare criteri e procedure di sicurezza delle informazioni CMA_0158 - Sviluppare criteri e procedure di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Sviluppare un provider di servizi condivisi che soddisfi i criteri CMA_C1492 - Sviluppare un provider di servizi condivisi che soddisfi i criteri Manuale, Disabilitato 1.1.0
Stabilire un programma di privacy CMA_0257 - Stabilire un programma di privacy Manuale, Disabilitato 1.1.0
Stabilire i requisiti di sicurezza per la produzione di dispositivi connessi CMA_0279 : stabilire i requisiti di sicurezza per la produzione di dispositivi connessi Manuale, Disabilitato 1.1.0
Implementare i principi di progettazione della sicurezza dei sistemi informativi CMA_0325 - Implementare i principi di progettazione della sicurezza dei sistemi informativi Manuale, Disabilitato 1.1.0

Regole di comportamento

ID: NIST SP 800-53 Rev. 5 PL-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare criteri e procedure d'uso accettabili CMA_0143 - Sviluppare criteri e procedure d'uso accettabili Manuale, Disabilitato 1.1.0
Sviluppare il codice di comportamento dell'organizzazione CMA_0159 - Sviluppare il codice di comportamento dell'organizzazione Manuale, Disabilitato 1.1.0
Documentare l'accettazione dei requisiti di privacy per il personale CMA_0193 - Documentare l'accettazione dei requisiti di privacy per il personale Manuale, Disabilitato 1.1.0
Applicare regole di comportamento e contratti di accesso CMA_0248 - Applicare regole di comportamento e contratti di accesso Manuale, Disabilitato 1.1.0
Proibire pratiche sleali CMA_0396 - Proibire pratiche sleali Manuale, Disabilitato 1.1.0
Rivedere e firmare le regole di comportamento modificate CMA_0465 - Rivedere e firmare le regole di comportamento modificate Manuale, Disabilitato 1.1.0
Aggiornare i criteri di sicurezza delle informazioni CMA_0518 - Aggiornare i criteri di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Aggiornare le regole di comportamento e i contratti di accesso CMA_0521 - Aggiornare le regole di comportamento e i contratti di accesso Manuale, Disabilitato 1.1.0
Aggiornare le regole di comportamento e gli accordi di accesso ogni 3 anni CMA_0522 - Aggiornare le regole di comportamento e i contratti di accesso ogni 3 anni Manuale, Disabilitato 1.1.0

Restrizioni sull'utilizzo di social media e siti esterni e applicazioni

ID: NIST SP 800-53 Rev. 5 PL-4 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare criteri e procedure d'uso accettabili CMA_0143 - Sviluppare criteri e procedure d'uso accettabili Manuale, Disabilitato 1.1.0

Architetture di sicurezza e privacy

ID: NIST SP 800-53 Rev. 5 PL-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Sviluppare un concetto di operazioni (CONOPS) CMA_0141 - Sviluppare un concetto di operazioni (CONOPS) Manuale, Disabilitato 1.1.0
Esaminare e aggiornare l'architettura di sicurezza delle informazioni CMA_C1504 - Esaminare e aggiornare l'architettura di sicurezza delle informazioni Manuale, Disabilitato 1.1.0

Sicurezza del personale

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 PS-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di sicurezza del personale CMA_C1507 - Esaminare e aggiornare i criteri e le procedure di sicurezza del personale Manuale, Disabilitato 1.1.0

Designazione del rischio della posizione

ID: NIST SP 800-53 Rev. 5 PS-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assegnare designazioni di rischio CMA_0016 - Assegnare designazioni di rischio Manuale, Disabilitato 1.1.0

Screening del personale

ID: NIST SP 800-53 Rev. 5 PS-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Cancellare il personale con accesso alle informazioni classificate CMA_0054 - Cancellare il personale con accesso alle informazioni classificate Manuale, Disabilitato 1.1.0
Implementare lo screening del personale CMA_0322 - Implementare lo screening del personale Manuale, Disabilitato 1.1.0
Rielaborare i singoli utenti a una frequenza definita CMA_C1512 - Rielaborare gli utenti a una frequenza definita Manuale, Disabilitato 1.1.0

Informazioni che richiedono misure di protezione speciali

ID: NIST SP 800-53 Rev. 5 PS-3 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Proteggere informazioni speciali CMA_0409 - Proteggere informazioni speciali Manuale, Disabilitato 1.1.0

Cessazione dell'incarico

ID: NIST SP 800-53 Rev. 5 PS-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Condurre un colloquio di uscita al termine CMA_0058 - Condurre un colloquio di uscita al termine Manuale, Disabilitato 1.1.0
Disabilitare gli autenticatori al termine CMA_0169 - Disabilitare gli autenticatori al termine Manuale, Disabilitato 1.1.0
Notifica al termine o al trasferimento CMA_0381 - Notifica al termine o al trasferimento Manuale, Disabilitato 1.1.0
Proteggere da e impedire il furto di dati da parte dei dipendenti CMA_0398 - Proteggere e impedire il furto di dati da parte dei dipendenti Manuale, Disabilitato 1.1.0
Conservare i dati utente terminati CMA_0455 - Conservare i dati utente terminati Manuale, Disabilitato 1.1.0

Azioni automatizzate

ID: NIST SP 800-53 Rev. 5 PS-4 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la notifica della terminazione dei dipendenti CMA_C1521 - Automatizzare la notifica della terminazione dei dipendenti Manuale, Disabilitato 1.1.0

Trasferimento di personale

ID: NIST SP 800-53 Rev. 5 PS-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avviare azioni di trasferimento o riassegnazione CMA_0333 - Avviare azioni di trasferimento o riassegnazione Manuale, Disabilitato 1.1.0
Modificare le autorizzazioni di accesso al trasferimento del personale CMA_0374 - Modificare le autorizzazioni di accesso al trasferimento del personale Manuale, Disabilitato 1.1.0
Notifica al termine o al trasferimento CMA_0381 - Notifica al termine o al trasferimento Manuale, Disabilitato 1.1.0
Rivalutare l'accesso al trasferimento del personale CMA_0424 - Rivalutare l'accesso al trasferimento del personale Manuale, Disabilitato 1.1.0

Accordi di accesso

ID: NIST SP 800-53 Rev. 5 PS-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare i contratti di accesso dell'organizzazione CMA_0192 - Documentare i contratti di accesso dell'organizzazione Manuale, Disabilitato 1.1.0
Applicare regole di comportamento e contratti di accesso CMA_0248 - Applicare regole di comportamento e contratti di accesso Manuale, Disabilitato 1.1.0
Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente CMA_C1528 - Assicurarsi che i contratti di accesso siano firmati o riassegnati tempestivamente Manuale, Disabilitato 1.1.0
Richiedere agli utenti di firmare il contratto di accesso CMA_0440 - Richiedere agli utenti di firmare il contratto di accesso Manuale, Disabilitato 1.1.0
Aggiornare i contratti di accesso dell'organizzazione CMA_0520 - Aggiornare i contratti di accesso dell'organizzazione Manuale, Disabilitato 1.1.0

Sicurezza del personale esterno

ID: NIST SP 800-53 Rev. 5 PS-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare i requisiti di sicurezza del personale di terze parti CMA_C1531 - Documentare i requisiti di sicurezza del personale di terze parti Manuale, Disabilitato 1.1.0
Stabilire i requisiti di sicurezza del personale di terze parti CMA_C1529 - Stabilire i requisiti di sicurezza del personale di terze parti Manuale, Disabilitato 1.1.0
Monitorare la conformità del provider di terze parti CMA_C1533 - Monitorare la conformità del provider di terze parti Manuale, Disabilitato 1.1.0
Richiedere la notifica del trasferimento o della chiusura del personale di terze parti CMA_C1532 - Richiedere la notifica del trasferimento o della terminazione del personale di terze parti Manuale, Disabilitato 1.1.0
Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale CMA_C1530 - Richiedere ai provider di terze parti di rispettare i criteri e le procedure di sicurezza del personale Manuale, Disabilitato 1.1.0

Sanzioni al personale

ID: NIST SP 800-53 Rev. 5 PS-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare un processo formale di sanzioni CMA_0317 - Implementare un processo formale di sanzioni Manuale, Disabilitato 1.1.0
Notificare al personale le sanzioni CMA_0380 - Notificare al personale le sanzioni Manuale, Disabilitato 1.1.0

Valutazione dei rischi

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 RA-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure di valutazione dei rischi CMA_C1537 - Esaminare e aggiornare i criteri e le procedure di valutazione dei rischi Manuale, Disabilitato 1.1.0

Categorizzazione di sicurezza

ID: NIST SP 800-53 Rev. 5 RA-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Classificare le informazioni CMA_0052 - Classificare le informazioni Manuale, Disabilitato 1.1.0
Sviluppare schemi di classificazione aziendale CMA_0155 - Sviluppare schemi di classificazione aziendale Manuale, Disabilitato 1.1.0
Verificare che la categorizzazione della sicurezza sia approvata CMA_C1540 - Assicurarsi che la categorizzazione della sicurezza sia approvata Manuale, Disabilitato 1.1.0
Esaminare l'attività e l'analisi delle etichette CMA_0474 - Esaminare l'attività e l'analisi delle etichette Manuale, Disabilitato 1.1.0

Valutazione dei rischi

ID: NIST SP 800-53 Rev. 5 RA-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire la valutazione dei rischi CMA_C1543 - Eseguire la valutazione dei rischi Manuale, Disabilitato 1.1.0
Eseguire la valutazione dei rischi e distribuirne i risultati CMA_C1544 - Eseguire la valutazione dei rischi e distribuirne i risultati Manuale, Disabilitato 1.1.0
Condurre la valutazione dei rischi e documentarne i risultati CMA_C1542 - Eseguire la valutazione dei rischi e documentarne i risultati Manuale, Disabilitato 1.1.0
Eseguire una valutazione dei rischi CMA_0388 - Eseguire una valutazione dei rischi Manuale, Disabilitato 1.1.0

Monitoraggio e analisi delle vulnerabilità

ID: NIST SP 800-53 Rev. 5 RA-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I database SQL devono avere i risultati della vulnerabilità risolti Monitorare i risultati e le raccomandazioni per l'analisi della valutazione della vulnerabilità per correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.1.0
I risultati della vulnerabilità nei server SQL nei computer devono essere risolti La valutazione delle vulnerabilità di SQL analizza il database per individuare le vulnerabilità di sicurezza ed espone eventuali deviazioni dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. AuditIfNotExists, Disabled 1.0.0
È consigliabile correggere le vulnerabilità nelle configurazioni della sicurezza dei contenitori Verifica le vulnerabilità nella configurazione della sicurezza nei computer in cui è installato Docker e le visualizza come raccomandazioni nel Centro sicurezza di Azure. AuditIfNotExists, Disabled 3.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. AuditIfNotExists, Disabled 3.0.0
La valutazione della vulnerabilità deve essere abilitata nell'istanza gestita di SQL Controlla ogni istanza gestita di SQL in cui non sono abilitate analisi di valutazione della vulnerabilità ricorrenti. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare la valutazione della vulnerabilità nei server SQL Controllare i server SQL di Azure che non hanno una valutazione della vulnerabilità configurata correttamente. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. AuditIfNotExists, Disabled 3.0.0
La valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro di Synapse Individuare, tenere traccia e correggere le potenziali vulnerabilità configurando analisi ricorrenti della valutazione delle vulnerabilità DI SQL nelle aree di lavoro di Synapse. AuditIfNotExists, Disabled 1.0.0

Aggiornare le vulnerabilità da analizzare

ID: NIST SP 800-53 Rev. 5 RA-5 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Ampiezza e profondità della copertura

ID: NIST SP 800-53 Rev. 5 RA-5 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Informazioni individuabili

ID: NIST SP 800-53 Rev. 5 RA-5 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Intervenire in risposta alle informazioni dei clienti CMA_C1554 - Intervenire in risposta alle informazioni dei clienti Manuale, Disabilitato 1.1.0

Accesso con privilegi

ID: NIST SP 800-53 Rev. 5 RA-5 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità CMA_C1555 - Implementare l'accesso con privilegi per l'esecuzione di attività di analisi delle vulnerabilità Manuale, Disabilitato 1.1.0

Analisi automatizzate delle tendenze

ID: NIST SP 800-53 Rev. 5 RA-5 (6) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Osservare e segnalare i punti deboli della sicurezza CMA_0384 - Osservare e segnalare i punti deboli della sicurezza Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze sulle minacce CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce Manuale, Disabilitato 1.1.0
Eseguire la modellazione delle minacce CMA_0392 - Eseguire la modellazione delle minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Esaminare i log di controllo cronologici

ID: NIST SP 800-53 Rev. 5 RA-5 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare le funzioni con privilegi CMA_0019 - Controllare le funzioni con privilegi Manuale, Disabilitato 1.1.0
Controllare lo stato dell'account utente CMA_0020 - Controllare lo stato dell'account utente Manuale, Disabilitato 1.1.0
Correlare i record di controllo CMA_0087 - Correlare i record di controllo Manuale, Disabilitato 1.1.0
Determinare gli eventi controllabili CMA_0137 - Determinare gli eventi controllabili Manuale, Disabilitato 1.1.0
Stabilire i requisiti per la revisione e la creazione di report di controllo CMA_0277 - Stabilire i requisiti per la revisione e la creazione di report di controllo Manuale, Disabilitato 1.1.0
Integrare la revisione, l'analisi e la creazione di report di controllo CMA_0339 - Integrare la revisione di controllo, l'analisi e la creazione di report Manuale, Disabilitato 1.1.0
Integrare Cloud App Security con una soluzione siem CMA_0340 - Integrare Cloud App Security con una soluzione siem Manuale, Disabilitato 1.1.0
Esaminare i log di provisioning degli account CMA_0460 - Esaminare i log di provisioning degli account Manuale, Disabilitato 1.1.0
Esaminare le assegnazioni di amministratore ogni settimana CMA_0461 - Esaminare le assegnazioni degli amministratori ogni settimana Manuale, Disabilitato 1.1.0
Esaminare i dati di controllo CMA_0466 - Esaminare i dati di controllo Manuale, Disabilitato 1.1.0
Esaminare la panoramica del report sull'identità cloud CMA_0468 - Esaminare la panoramica del report sulle identità cloud Manuale, Disabilitato 1.1.0
Esaminare gli eventi di accesso controllato alle cartelle CMA_0471 - Esaminare gli eventi di accesso controllato alle cartelle Manuale, Disabilitato 1.1.0
Esaminare gli eventi di protezione dagli exploit CMA_0472 - Esaminare gli eventi di protezione dagli exploit Manuale, Disabilitato 1.1.0
Esaminare l'attività di file e cartelle CMA_0473 - Esaminare l'attività di file e cartelle Manuale, Disabilitato 1.1.0
Esaminare le modifiche al gruppo di ruoli ogni settimana CMA_0476 - Esaminare le modifiche al gruppo di ruoli ogni settimana Manuale, Disabilitato 1.1.0

Correlare le informazioni di analisi

ID: NIST SP 800-53 Rev. 5 RA-5 (10) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Correlare le informazioni sull'analisi della vulnerabilità CMA_C1558 - Correlare le informazioni sull'analisi della vulnerabilità Manuale, Disabilitato 1.1.1

Acquisizione del sistema e dei servizi

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 SA-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure di acquisizione di sistemi e servizi CMA_C1560 - Esaminare e aggiornare criteri e procedure di acquisizione di sistemi e servizi Manuale, Disabilitato 1.1.0

Allocazione delle risorse

ID: NIST SP 800-53 Rev. 5 SA-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Allineare gli obiettivi aziendali e gli obiettivi IT CMA_0008 - Allineare gli obiettivi aziendali e gli obiettivi IT Manuale, Disabilitato 1.1.0
Allocare risorse per determinare i requisiti del sistema informativo CMA_C1561 - Allocare risorse per determinare i requisiti del sistema informativo Manuale, Disabilitato 1.1.0
Stabilire una voce discreta nella documentazione relativa al budget CMA_C1563 - Stabilire una voce discreta nella documentazione relativa al budget Manuale, Disabilitato 1.1.0
Stabilire un programma di privacy CMA_0257 - Stabilire un programma di privacy Manuale, Disabilitato 1.1.0
Gestire l'allocazione delle risorse CMA_0293 - Gestire l'allocazione delle risorse Manuale, Disabilitato 1.1.0
Impegno sicuro da parte della leadership CMA_0489 - Proteggere l'impegno della leadership Manuale, Disabilitato 1.1.0

Ciclo di vita dello sviluppo del sistema

ID: NIST SP 800-53 Rev. 5 SA-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire ruoli e responsabilità di sicurezza delle informazioni CMA_C1565 - Definire ruoli e responsabilità di sicurezza delle informazioni Manuale, Disabilitato 1.1.0
Identificare le persone con ruoli e responsabilità di sicurezza CMA_C1566 - Identificare le persone con ruoli e responsabilità di sicurezza Manuale, Disabilitato 1.1.1
Integrare il processo di gestione dei rischi in SDLC CMA_C1567 - Integrare il processo di gestione dei rischi in SDLC Manuale, Disabilitato 1.1.0

Processo di acquisizione

ID: NIST SP 800-53 Rev. 5 SA-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Determinare gli obblighi del contratto fornitore CMA_0140 - Determinare gli obblighi del contratto fornitore Manuale, Disabilitato 1.1.0
Criteri di accettazione del contratto di acquisizione documenti CMA_0187 - Criteri di accettazione del contratto di acquisizione documenti Manuale, Disabilitato 1.1.0
Protezione dei dati personali nei contratti di acquisizione CMA_0194 - Documentare la protezione dei dati personali nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Protezione dei documenti delle informazioni di sicurezza nei contratti di acquisizione CMA_0195 - Protezione documentale delle informazioni di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Requisiti dei documenti per l'uso dei dati condivisi nei contratti CMA_0197 - Documentare i requisiti per l'uso dei dati condivisi nei contratti Manuale, Disabilitato 1.1.0
Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione CMA_0199 - Documentare i requisiti di garanzia di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti della documentazione sulla sicurezza nel contratto di acquisizione CMA_0200 - Documentare i requisiti della documentazione di sicurezza nel contratto di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione CMA_0201 - Documentare i requisiti funzionali di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare i requisiti di sicurezza nei contratti di acquisizione CMA_0203 - Documentare i requisiti di sicurezza nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti CMA_0207 - Documentare la protezione dei dati dei titolari di carte nei contratti di terze parti Manuale, Disabilitato 1.1.0

Proprietà funzionali dei controlli

ID: NIST SP 800-53 Rev. 5 SA-4 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ottenere proprietà funzionali dei controlli di sicurezza CMA_C1575 - Ottenere proprietà funzionali dei controlli di sicurezza Manuale, Disabilitato 1.1.0

Informazioni sulla progettazione e sull'implementazione per i controlli

ID: NIST SP 800-53 Rev. 5 SA-4 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza CMA_C1576 - Ottenere informazioni di progettazione e implementazione per i controlli di sicurezza Manuale, Disabilitato 1.1.1

Piano di monitoraggio continuo per i controlli

ID: NIST SP 800-53 Rev. 5 SA-4 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ottenere un piano di monitoraggio continuo per i controlli di sicurezza CMA_C1577 - Ottenere un piano di monitoraggio continuo per i controlli di sicurezza Manuale, Disabilitato 1.1.0

Funzioni, porte, protocolli e servizi in uso

ID: NIST SP 800-53 Rev. 5 SA-4 (9) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Richiedere allo sviluppatore di identificare porte, protocolli e servizi SDLC CMA_C1578 - Richiedere allo sviluppatore di identificare porte, protocolli e servizi SDLC Manuale, Disabilitato 1.1.0

Uso di prodotti PIV approvati

ID: NIST SP 800-53 Rev. 5 SA-4 (10) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impiegare la tecnologia approvata da FIPS 201 per PIV CMA_C1579 - Impiegare la tecnologia approvata da FIPS 201 per PIV Manuale, Disabilitato 1.1.0

Documentazione di sistema

ID: NIST SP 800-53 Rev. 5 SA-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Distribuire la documentazione del sistema informativo CMA_C1584 - Distribuire la documentazione del sistema informativo Manuale, Disabilitato 1.1.0
Documentare le azioni definite dal cliente CMA_C1582 - Documentare le azioni definite dal cliente Manuale, Disabilitato 1.1.0
Ottenere Amministrazione documentazione CMA_C1580 - Ottenere Amministrazione documentazione Manuale, Disabilitato 1.1.0
Ottenere la documentazione della funzione di sicurezza utente CMA_C1581 - Ottenere la documentazione della funzione di sicurezza utente Manuale, Disabilitato 1.1.0
Proteggere la documentazione dell'amministratore e dell'utente CMA_C1583 - Proteggere la documentazione dell'amministratore e dell'utente Manuale, Disabilitato 1.1.0

Servizi di sistema esterni

ID: NIST SP 800-53 Rev. 5 SA-9 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire e documentare la supervisione degli enti pubblici CMA_C1587 - Definire e documentare la supervisione governativa Manuale, Disabilitato 1.1.0
Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza CMA_C1586 - Richiedere ai provider di servizi esterni di rispettare i requisiti di sicurezza Manuale, Disabilitato 1.1.0
Esaminare la conformità del provider di servizi cloud con i criteri e i contratti CMA_0469 - Esaminare la conformità del provider di servizi cloud con i criteri e i contratti Manuale, Disabilitato 1.1.0
Sottoposto a revisione della sicurezza indipendente CMA_0515 - Sottoposto a revisione della sicurezza indipendente Manuale, Disabilitato 1.1.0

Valutazioni dei rischi e Approvazioni organizzative

ID: NIST SP 800-53 Rev. 5 SA-9 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Valutare il rischio nelle relazioni di terze parti CMA_0014 - Valutare il rischio nelle relazioni di terze parti Manuale, Disabilitato 1.1.0
Ottenere le approvazioni per le acquisizioni e l'esternalizzazione CMA_C1590 - Ottenere le approvazioni per acquisizioni ed esternalizzazioni Manuale, Disabilitato 1.1.0

Identificazione di funzioni, porte, protocolli e servizi

ID: NIST SP 800-53 Rev. 5 SA-9 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Identificare i provider di servizi esterni CMA_C1591 - Identificare i provider di servizi esterni Manuale, Disabilitato 1.1.0

Interessi coerenti di consumatori e fornitori

ID: NIST SP 800-53 Rev. 5 SA-9 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti CMA_C1592 - Garantire che i provider esterni soddisfino costantemente gli interessi dei clienti Manuale, Disabilitato 1.1.0

Elaborazione, Archiviazione e posizione del servizio

ID: NIST SP 800-53 Rev. 5 SA-9 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Limitare la posizione dell'elaborazione delle informazioni, l'archiviazione e i servizi CMA_C1593 - Limitare la posizione dell'elaborazione delle informazioni, dell'archiviazione e dei servizi Manuale, Disabilitato 1.1.0

Gestione della configurazione da parte dello sviluppatore

ID: NIST SP 800-53 Rev. 5 SA-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Risolvere le vulnerabilità di codifica CMA_0003 - Risolvere le vulnerabilità di codifica Manuale, Disabilitato 1.1.0
Sviluppare e documentare i requisiti di sicurezza delle applicazioni CMA_0148 - Sviluppare e documentare i requisiti di sicurezza delle applicazioni Manuale, Disabilitato 1.1.0
Documentare l'ambiente del sistema informativo nei contratti di acquisizione CMA_0205 - Documentare l'ambiente del sistema informativo nei contratti di acquisizione Manuale, Disabilitato 1.1.0
Stabilire un programma di sviluppo software sicuro CMA_0259 - Stabilire un programma di sviluppo software sicuro Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto CMA_C1597 - Richiedere agli sviluppatori di documentare le modifiche approvate e il potenziale impatto Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di implementare solo le modifiche approvate CMA_C1596 - Richiedere agli sviluppatori di implementare solo le modifiche approvate Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di gestire l'integrità delle modifiche CMA_C1595 - Richiedere agli sviluppatori di gestire l'integrità delle modifiche Manuale, Disabilitato 1.1.0

Verifica dell'integrità del software e del firmware

ID: NIST SP 800-53 Rev. 5 SA-10 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare l'integrità del software, del firmware e delle informazioni CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni Manuale, Disabilitato 1.1.0

Test e valutazione per sviluppatori

ID: NIST SP 800-53 Rev. 5 SA-11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza CMA_C1602 - Richiedere agli sviluppatori di produrre prove di esecuzione del piano di valutazione della sicurezza Manuale, Disabilitato 1.1.0

Processo di sviluppo, standard e strumenti

ID: NIST SP 800-53 Rev. 5 SA-15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare i processi di sviluppo, gli standard e gli strumenti CMA_C1610 - Esaminare il processo di sviluppo, gli standard e gli strumenti Manuale, Disabilitato 1.1.0

Formazione fornita dallo sviluppatore

ID: NIST SP 800-53 Rev. 5 SA-16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Richiedere agli sviluppatori di fornire formazione CMA_C1611 - Richiedere agli sviluppatori di fornire formazione Manuale, Disabilitato 1.1.0

Architettura e progettazione di sicurezza e privacy per sviluppatori

ID: NIST SP 800-53 Rev. 5 SA-17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Richiedere agli sviluppatori di compilare l'architettura di sicurezza CMA_C1612 - Richiedere agli sviluppatori di creare un'architettura di sicurezza Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di descrivere funzionalità di sicurezza accurate CMA_C1613 - Richiedere agli sviluppatori di descrivere funzionalità di sicurezza accurate Manuale, Disabilitato 1.1.0
Richiedere agli sviluppatori di fornire un approccio unificato per la protezione della sicurezza CMA_C1614 - Richiedere agli sviluppatori di fornire un approccio unificato per la protezione della sicurezza Manuale, Disabilitato 1.1.0

Protezione del sistema e delle comunicazioni

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 SC-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare criteri e procedure di protezione del sistema e delle comunicazioni CMA_C1616 - Esaminare e aggiornare criteri e procedure di protezione del sistema e delle comunicazioni Manuale, Disabilitato 1.1.0

Separazione delle funzionalità di sistema e utente

ID: NIST SP 800-53 Rev. 5 SC-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare l'accesso remoto CMA_0024 - Autorizzare l'accesso remoto Manuale, Disabilitato 1.1.0
Separare le funzionalità di gestione di utenti e sistemi informativi CMA_0493 - Funzionalità di gestione separate di utenti e sistemi informativi Manuale, Disabilitato 1.1.0
Usare computer dedicati per le attività amministrative CMA_0527 - Usare computer dedicati per le attività amministrative Manuale, Disabilitato 1.1.0

Isolamento delle funzioni di sicurezza

ID: NIST SP 800-53 Rev. 5 SC-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. AuditIfNotExists, Disabled 3.0.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Protezione Denial of Service

ID: NIST SP 800-53 Rev. 5 SC-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Protezione DDoS di Azure deve essere abilitata La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. AuditIfNotExists, Disabled 3.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Sviluppare e documentare un piano di risposta DDoS CMA_0147 - Sviluppare e documentare un piano di risposta DDoS Manuale, Disabilitato 1.1.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Disponibilità delle risorse

ID: NIST SP 800-53 Rev. 5 SC-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire l'allocazione delle risorse CMA_0293 - Gestire l'allocazione delle risorse Manuale, Disabilitato 1.1.0
Gestire disponibilità e capacità CMA_0356 - Gestire la disponibilità e la capacità Manuale, Disabilitato 1.1.0
Impegno sicuro da parte della leadership CMA_0489 - Proteggere l'impegno della leadership Manuale, Disabilitato 1.1.0

Protezione dei limiti

ID: NIST SP 800-53 Rev. 5 SC-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-preview
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
cache di Azure per Redis deve usare un collegamento privato Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0
Azure Data Factory deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare il collegamento privato La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le aree di lavoro di Azure Synapse devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. Audit, Deny, Disabled 3.0.1
Servizi cognitivi deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account CosmosDB devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Implementare la protezione dei limiti di sistema CMA_0328 - Implementare la protezione dei limiti del sistema Manuale, Disabilitato 1.1.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
hub IoT istanze del servizio device provisioning devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Archiviazione gli account devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Punti di accesso

ID: NIST SP 800-53 Rev. 5 SC-7 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: l'accesso pubblico dell'account Archiviazione non deve essere consentito L'accesso in lettura pubblico anonimo a contenitori e BLOB in Archiviazione di Azure è un metodo pratico per condividere i dati, ma potrebbe comportare rischi per la sicurezza. Per evitare violazioni dei dati provocate da accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che non sia richiesto dallo scenario. audit, Audit, Deny, Deny, disabled, Disabled 3.1.0-preview
Le raccomandazioni per la protezione avanzata adattiva per la rete devono essere applicate alle macchine virtuali che si interfacciano a Internet Centro sicurezza di Azure analizza i modelli di traffico delle macchine virtuali con connessione Internet e fornisce raccomandazioni sulle regole del gruppo di sicurezza di rete al fine di ridurre la superficie di attacco potenziale AuditIfNotExists, Disabled 3.0.0
È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale Il Centro sicurezza di Azure ha identificato alcune regole in ingresso dei gruppi di sicurezza di rete eccessivamente permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. AuditIfNotExists, Disabled 3.0.0
I servizi di gestione API devono usare una rete virtuale La distribuzione di Azure Rete virtuale offre sicurezza avanzata, isolamento e consente di posizionare il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. Audit, Deny, Disabled 1.0.2
Configurazione app deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. AuditIfNotExists, Disabled 1.0.2
Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. Audit, Disabled 2.0.1
Le risorse di Servizi di intelligenza artificiale di Azure devono limitare l'accesso alla rete Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A tale scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio azure per intelligenza artificiale. Audit, Deny, Disabled 3.2.0
L'API di Azure per FHIR deve usare un collegamento privato L'API di Azure per FHIR deve avere almeno una connessione a endpoint privato approvata. I client in una rete virtuale possono accedere in modo sicuro alle risorse con connessioni a endpoint privati tramite collegamenti privati. Per altre informazioni, vedere https://aka.ms/fhir-privatelink. Audit, Disabled 1.0.0
cache di Azure per Redis deve usare un collegamento privato Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. AuditIfNotExists, Disabled 1.0.0
Ricerca cognitiva di Azure servizio deve usare uno SKU che supporta il collegamento privato Con gli SKU supportati di Ricerca cognitiva di Azure, collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla servizio di ricerca, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio Ricerca cognitiva di Azure non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dei servizio di ricerca. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Deny, Disabled 1.0.0
Ricerca cognitiva di Azure servizi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Ricerca cognitiva di Azure, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. Audit, Disabled 1.0.0
Per gli account di Azure Cosmos DB devono essere definite regole del firewall Le regole del firewall devono essere definite negli account Azure Cosmos DB per impedire il traffico proveniente da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. Audit, Deny, Disabled 2.0.0
Azure Data Factory deve usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati ad Azure Data Factory, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. AuditIfNotExists, Disabled 1.0.0
I domini di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al dominio di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Gli argomenti di Griglia di eventi di Azure devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'argomento di Griglia di eventi anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. Audit, Disabled 1.0.2
Sincronizzazione file di Azure deve usare il collegamento privato La creazione di un endpoint privato per la risorsa del servizio di sincronizzazione indicata Archiviazione consente di gestire la risorsa del servizio di sincronizzazione Archiviazione dall'interno dello spazio indirizzi IP privato della rete dell'organizzazione, anziché tramite l'endpoint pubblico accessibile da Internet. La creazione di un endpoint privato da sola non disabilita l'endpoint pubblico. AuditIfNotExists, Disabled 1.0.0
Azure Key Vault deve avere il firewall abilitato Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun indirizzo IP pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Per altre informazioni, vedere: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Gli insiemi di credenziali delle chiavi di Azure devono usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/akvprivatelink. [parameters('audit_effect')] 1.2.1
Le aree di lavoro di Azure Machine Learning devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro di Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. Audit, Disabled 1.0.0
bus di servizio di Azure gli spazi dei nomi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi bus di servizio, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. AuditIfNotExists, Disabled 1.0.0
Il servizio Azure SignalR deve usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/asrs/privatelink. Audit, Disabled 1.0.0
Le aree di lavoro di Azure Synapse devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 1.0.2
Il servizio Web PubSub di Azure deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio Web PubSub di Azure, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/awps/privatelink. Audit, Disabled 1.0.0
Gli account servizi cognitivi devono disabilitare l'accesso alla rete pubblica Per migliorare la sicurezza degli account di Servizi cognitivi, assicurarsi che non sia esposto a Internet pubblico e che sia accessibile solo da un endpoint privato. Disabilitare la proprietà di accesso alla rete pubblica come descritto in https://go.microsoft.com/fwlink/?linkid=2129800. Questa opzione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su IP o rete virtuale. In questo modo si riducono i rischi di perdita dei dati. Audit, Deny, Disabled 3.0.1
Servizi cognitivi deve usare un collegamento privato collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a Servizi cognitivi, si ridurrà il rischio di perdita di dati. Altre informazioni sui collegamenti privati sono disponibili in: https://go.microsoft.com/fwlink/?linkid=2129800. Audit, Disabled 3.0.0
I registri contenitori non devono consentire l'accesso alla rete senza restrizioni Per impostazione predefinita, i Registri Azure Container accettano le connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da endpoint privati specifici, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. Audit, Deny, Disabled 2.0.0
I registri contenitori devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Il mapping degli endpoint privati ai soli registri contenitori anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. Audit, Disabled 1.0.1
Gli account CosmosDB devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. Audit, Disabled 1.0.0
Le risorse di accesso al disco devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati a diskAccesses, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/disksprivatelinksdoc. AuditIfNotExists, Disabled 1.0.0
Gli spazi dei nomi di Hub eventi devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati agli spazi dei nomi dell'hub eventi, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. AuditIfNotExists, Disabled 1.0.0
Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
hub IoT istanze del servizio device provisioning devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati al servizio di provisioning di dispositivi hub IoT, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/iotdpsvnet. Audit, Disabled 1.0.0
L'inoltro IP nella macchina virtuale deve essere disabilitato L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. AuditIfNotExists, Disabled 3.0.0
Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT I possibili accessi JIT alla rete verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
È consigliabile chiudere le porte di gestione nelle macchine virtuali Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. AuditIfNotExists, Disabled 3.0.0
Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc AuditIfNotExists, Disabled 3.0.0
Le connessioni endpoint privato nel database SQL di Azure devono essere abilitate Le connessioni endpoint privato impongono la comunicazione sicura tramite l'abilitazione della connettività privata al database SQL di Azure. Audit, Disabled 1.1.0
L'endpoint privato deve essere abilitato per i server MariaDB Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server MySQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'endpoint privato deve essere abilitato per i server PostgreSQL Le connessioni endpoint privato impongono una comunicazione sicura tramite l'abilitazione della connettività privata al database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi quelli all'interno di Azure. AuditIfNotExists, Disabled 1.0.2
L'accesso alla rete pubblica nel database SQL di Azure deve essere disabilitato La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza, in quanto garantisce che al database SQL di Azure sia possibile accedere solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 1.1.0
L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MariaDB sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server MySQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per MySQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.0
L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL Disabilita la proprietà di accesso alla rete pubblica per migliorare la sicurezza e garantire che al database di Azure per PostgreSQL sia possibile accedere solo da un endpoint privato. Questa configurazione disabilita l'accesso da tutti gli spazi indirizzi pubblici non compresi nell'intervallo di indirizzi IP di Azure e nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. Audit, Deny, Disabled 2.0.1
Gli account di archiviazione devono limitare l'accesso alla rete L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali di Azure specifiche o a intervalli di indirizzi IP Internet pubblici Audit, Deny, Disabled 1.1.1
Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. Audit, Deny, Disabled 1.0.1
Archiviazione gli account devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'account di archiviazione, i rischi di perdita dei dati vengono ridotti. Per altre informazioni sui collegamenti privati, vedere : https://aka.ms/azureprivatelinkoverview AuditIfNotExists, Disabled 2.0.0
Le subnet devono essere associate a un gruppo di sicurezza di rete È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. AuditIfNotExists, Disabled 3.0.0
I modelli di Image Builder per macchine virtuali devono usare un collegamento privato Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. Altre informazioni sui collegamenti privati sono disponibili in: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0
Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. Audit, Deny, Disabled 2.0.0

Servizi di telecomunicazione esterni

ID: NIST SP 800-53 Rev. 5 SC-7 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare l'interfaccia gestita per ogni servizio esterno CMA_C1626 - Implementare l'interfaccia gestita per ogni servizio esterno Manuale, Disabilitato 1.1.0
Implementare la protezione dei limiti di sistema CMA_0328 - Implementare la protezione dei limiti del sistema Manuale, Disabilitato 1.1.0
Proteggere l'interfaccia ai sistemi esterni CMA_0491 - Proteggere l'interfaccia ai sistemi esterni Manuale, Disabilitato 1.1.0

Split Tunneling per dispositivi remoti

ID: NIST SP 800-53 Rev. 5 SC-7 (7) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Impedire il split tunneling per i dispositivi remoti CMA_C1632 - Impedire il split tunneling per i dispositivi remoti Manuale, Disabilitato 1.1.0

Instradare il traffico ai server proxy autenticati

ID: NIST SP 800-53 Rev. 5 SC-7 (8) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Instradare il traffico attraverso la rete proxy autenticata CMA_C1633 - Instradare il traffico tramite la rete proxy autenticata Manuale, Disabilitato 1.1.0

Protezione basata su host

ID: NIST SP 800-53 Rev. 5 SC-7 (12) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la protezione dei limiti di sistema CMA_0328 - Implementare la protezione dei limiti del sistema Manuale, Disabilitato 1.1.0

Isolamento di strumenti di sicurezza, meccanismi e componenti di supporto

ID: NIST SP 800-53 Rev. 5 SC-7 (13) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza CMA_C1636 - Isolare i sistemi SecurID, i sistemi di gestione degli eventi imprevisti di sicurezza Manuale, Disabilitato 1.1.0

Fail Secure

ID: NIST SP 800-53 Rev. 5 SC-7 (18) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare la protezione dei limiti di sistema CMA_0328 - Implementare la protezione dei limiti del sistema Manuale, Disabilitato 1.1.0
Gestire i trasferimenti tra componenti di sistema attivi e standby CMA_0371 - Gestire i trasferimenti tra componenti di sistema attivi e standby Manuale, Disabilitato 1.1.0

Isolamento e separazione dinamici

ID: NIST SP 800-53 Rev. 5 SC-7 (20) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Assicurarsi che il sistema sia in grado di isolare dinamicamente le risorse CMA_C1638 - Garantire che il sistema sia in grado di isolare dinamicamente le risorse Manuale, Disabilitato 1.1.0

Isolamento dei componenti di sistema

ID: NIST SP 800-53 Rev. 5 SC-7 (21) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare la protezione dei limiti per isolare i sistemi informativi CMA_C1639 - Usare la protezione dei limiti per isolare i sistemi informativi Manuale, Disabilitato 1.1.0

Riservatezza e integrità delle trasmissioni

ID: NIST SP 800-53 Rev. 5 SC-8 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
servizio app le app devono essere accessibili solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 4.0.0
servizio app le app devono richiedere solo FTPS Abilitare l'applicazione FTPS per una maggiore sicurezza. AuditIfNotExists, Disabled 3.0.0
servizio app le app devono usare la versione più recente di TLS Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.0.1
I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. Audit, Deny, Disabled 1.0.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Le app per le funzioni devono essere accessibili solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 5.0.0
Le app per le funzioni devono richiedere solo FTPS Abilitare l'applicazione FTPS per una maggiore sicurezza. AuditIfNotExists, Disabled 3.0.0
Le app per le funzioni devono usare la versione più recente di TLS Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.0.1
I cluster Kubernetes devono essere accessibili solo tramite HTTPS L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc audit, Audit, Deny, Deny, disabled, Disabled 8.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 1.0.0
Proteggere i dati in transito tramite la crittografia CMA_0403 - Proteggere i dati in transito tramite la crittografia Manuale, Disabilitato 1.1.0
Proteggere le password con la crittografia CMA_0408 - Proteggere le password con la crittografia Manuale, Disabilitato 1.1.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

Protezione crittografica

ID: NIST SP 800-53 Rev. 5 SC-8 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
servizio app le app devono essere accessibili solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 4.0.0
servizio app le app devono richiedere solo FTPS Abilitare l'applicazione FTPS per una maggiore sicurezza. AuditIfNotExists, Disabled 3.0.0
servizio app le app devono usare la versione più recente di TLS Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per servizio app app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.0.1
I cluster Azure HDInsight devono usare la crittografia in transito per crittografare la comunicazione tra i nodi del cluster Azure HDInsight I dati possono essere manomessi durante la trasmissione tra i nodi del cluster Azure HDInsight. L'abilitazione della crittografia in transito risolve i problemi di uso improprio e manomissione durante questa trasmissione. Audit, Deny, Disabled 1.0.0
Configurare le workstation per verificare la presenza di certificati digitali CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali Manuale, Disabilitato 1.1.0
Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL Database di Azure per il server MySQL supporta la connessione alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL Il database di Azure per PostgreSQL supporta la connessione del server di database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. Audit, Disabled 1.0.1
Le app per le funzioni devono essere accessibili solo tramite HTTPS L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. Audit, Disabled, Deny 5.0.0
Le app per le funzioni devono richiedere solo FTPS Abilitare l'applicazione FTPS per una maggiore sicurezza. AuditIfNotExists, Disabled 3.0.0
Le app per le funzioni devono usare la versione più recente di TLS Periodicamente, le versioni più recenti vengono rilasciate per TLS a causa di difetti di sicurezza, includono funzionalità aggiuntive e migliorano la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. AuditIfNotExists, Disabled 2.0.1
I cluster Kubernetes devono essere accessibili solo tramite HTTPS L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito dagli attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Kubernetes con abilitazione di Azure Arc. Per altre info, visita https://aka.ms/kubepolicydoc audit, Audit, Deny, Deny, disabled, Disabled 8.1.0
Devono essere abilitate solo le connessioni sicure alla cache di Azure per Redis Controllare l'abilitazione delle sole connessioni tramite SSL a Cache Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 1.0.0
È consigliabile abilitare il trasferimento sicuro agli account di archiviazione Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione Audit, Deny, Disabled 2.0.0
I computer Windows devono essere configurati per l'uso di protocolli di comunicazione sicuri Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. AuditIfNotExists, Disabled 4.1.1

Disconnessione di rete

ID: NIST SP 800-53 Rev. 5 SC-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Ripetere o terminare una sessione utente CMA_0421 - Ripetere o terminare una sessione utente Manuale, Disabilitato 1.1.0

Definizione e gestione di chiavi crittografiche

ID: NIST SP 800-53 Rev. 5 SC-12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Gli insiemi di credenziali di Servizi di ripristino di Azure devono usare chiavi gestite dal cliente per crittografare i dati di backup Usare chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei dati di backup. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/AB-CmkEncryption. Audit, Deny, Disabled 1.0.0-preview
[Anteprima]: hub IoT i dati del servizio device provisioning devono essere crittografati usando chiavi gestite dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del servizio di provisioning dei dispositivi hub IoT. I dati vengono crittografati automaticamente inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente (CMK) sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata dall'utente e di sua proprietà. Per altre informazioni sulla crittografia con chiavi gestite dal cliente, vedere https://aka.ms/dps/CMK. Audit, Deny, Disabled 1.0.0-preview
L'API di Azure per FHIR deve usare una chiave gestita dal cliente per crittografare i dati inattivi Usare una chiave gestita dal cliente per controllare la crittografia dei dati inattivi archiviati in API di Azure per FHIR quando è richiesto da un requisito normativo o di conformità. Le chiavi gestite dal cliente offrono anche la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quello predefinito eseguito con le chiavi gestite dal servizio. audit, Audit, disabled, Disabled 1.1.0
Automazione di Azure gli account devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi degli account Automazione di Azure. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/automation-cmk. Audit, Deny, Disabled 1.0.0
L'account Azure Batch deve usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dell'account Batch. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/Batch-CMK. Audit, Deny, Disabled 1.0.1
Il gruppo di contenitori dell'istanza di Azure Container deve usare la chiave gestita dal cliente per la crittografia Proteggere i contenitori con maggiore flessibilità usando chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. Audit, Disabled, Deny 1.0.0
Gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Cosmos DB. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Azure Data Box processi deve usare una chiave gestita dal cliente per crittografare la password di sblocco del dispositivo Usare una chiave gestita dal cliente per controllare la crittografia della password di sblocco del dispositivo per Azure Data Box. Le chiavi gestite dal cliente consentono inoltre di gestire l'accesso alla password di sblocco del dispositivo da parte del servizio Data Box per preparare il dispositivo e copiare i dati in modo automatico. I dati inattivi nel dispositivo stesso sono già crittografati tramite la crittografia Advanced Encryption Standard a 256 bit e la password di sblocco del dispositivo è crittografata per impostazione predefinita con una chiave gestita da Microsoft. Audit, Deny, Disabled 1.0.0
La crittografia dei dati inattivi di Esplora dati di Azure deve usare una chiave gestita dal cliente L'abilitazione della crittografia dei dati inattivi mediante una chiave gestita dal cliente nel cluster di Esplora dati di Azure fornisce un controllo aggiuntivo sulla chiave usata dalla crittografia dei dati inattivi. Questa funzionalità è spesso applicabile ai clienti con requisiti di conformità speciali e richiede un'istanza di Key Vault per la gestione delle chiavi. Audit, Deny, Disabled 1.0.0
Le data factory di Azure devono essere crittografate con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi di Azure Data Factory. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/adf-cmk. Audit, Deny, Disabled 1.0.1
I cluster Azure HDInsight devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei cluster Azure HDInsight inattivi. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/hdi.cmk. Audit, Deny, Disabled 1.0.1
I cluster Azure HDInsight devono usare la crittografia nell'host per crittografare i dati inattivi L'abilitazione della crittografia nell'host consente di proteggere e proteggere i dati per soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Quando si abilita la crittografia nell'host, i dati archiviati nell'host della macchina virtuale vengono crittografati inattivi e i flussi crittografati nel servizio Archiviazione. Audit, Deny, Disabled 1.0.0
Le aree di lavoro di Azure Machine Learning devono essere crittografate con una chiave gestita dal cliente Gestire la crittografia dei dati inattivi dell'area di lavoro di Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. Audit, Deny, Disabled 1.0.3
I cluster di log di Monitoraggio di Azure devono essere crittografati con la chiave gestita dal cliente Creare un cluster di log di Monitoraggio di Azure con la crittografia delle chiavi gestite dal cliente. Per impostazione predefinita, i dati di log vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative. La chiave gestita dal cliente in Monitoraggio di Azure offre maggiore controllo sull'accesso ai dati, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I processi di Analisi di flusso di Azure devono usare chiavi gestite dal cliente per la crittografia dei dati Usare le chiavi gestite dal cliente per archiviare in modo sicuro gli asset di dati privati e i metadati dei processi di Analisi di flusso di Azure nell'account di archiviazione e ottenere il controllo totale sulla modalità di crittografia dei dati di Analisi di flusso di Azure. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. Audit, Deny, Disabled 1.0.0
servizio Bot deve essere crittografato con una chiave gestita dal cliente Azure servizio Bot crittografa automaticamente la risorsa per proteggere i dati e soddisfare gli impegni di sicurezza e conformità dell'organizzazione. Per impostazione predefinita, vengono usate chiavi di crittografia gestite da Microsoft. Per una maggiore flessibilità nella gestione delle chiavi o nel controllo dell'accesso alla sottoscrizione, selezionare chiavi gestite dal cliente, note anche come BYOK (Bring Your Own Key). Altre informazioni sulla crittografia servizio Bot di Azure: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
Entrambi i dischi dati e del sistema operativo nei cluster del servizio Azure Kubernetes devono essere crittografati mediante chiavi gestite dal cliente La crittografia dei dischi dati e del sistema operativo con chiavi gestite dal cliente offre maggiore controllo e flessibilità per la gestione delle chiavi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. Audit, Deny, Disabled 1.0.1
Gli account di Servizi cognitivi devono abilitare la crittografia dei dati con una chiave gestita dal cliente Le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati archiviati in Servizi cognitivi con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sulle chiavi gestite dal cliente sono disponibili in https://go.microsoft.com/fwlink/?linkid=2121321. Audit, Deny, Disabled 2.1.0
I registri contenitori devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. Audit, Deny, Disabled 1.1.2
Definire un processo di gestione delle chiavi fisiche CMA_0115 - Definire un processo di gestione delle chiavi fisiche Manuale, Disabilitato 1.1.0
Definire l'uso crittografico CMA_0120 - Definire l'uso crittografico Manuale, Disabilitato 1.1.0
Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche CMA_0123 - Definire i requisiti dell'organizzazione per la gestione delle chiavi crittografiche Manuale, Disabilitato 1.1.0
Determinare i requisiti di asserzione CMA_0136 - Determinare i requisiti di asserzione Manuale, Disabilitato 1.1.0
Gli spazi dei nomi di Hub eventi devono usare una chiave gestita dal cliente per la crittografia Hub eventi di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi usate dall'hub eventi per crittografare i dati nello spazio dei nomi. Si noti che Hub eventi supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi nei cluster dedicati. Audit, Disabled 1.0.0
Cache HPC account devono usare la chiave gestita dal cliente per la crittografia Gestire la crittografia dei dati inattivi di Azure Cache HPC con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Audit, Disabled, Deny 2.0.0
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0
L'ambiente del servizio di integrazione delle app per la logica deve essere crittografato con chiavi gestite dal cliente Eseguire la distribuzione nell'ambiente del servizio di integrazione per gestire la crittografia dei dati inattivi delle app per la logica usando chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti vengono crittografati con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Audit, Deny, Disabled 1.0.0
Gestire le chiavi crittografiche simmetriche CMA_0367 - Gestire chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0
I dischi gestiti devono essere crittografati due volte con chiavi gestite dalla piattaforma e gestite dal cliente I clienti sensibili alla sicurezza elevata interessati al rischio associato a qualsiasi algoritmo di crittografia, implementazione o chiave compromessa possono optare per un livello aggiuntivo di crittografia usando un algoritmo/modalità di crittografia diverso a livello di infrastruttura usando chiavi di crittografia gestite dalla piattaforma. I set di crittografia del disco sono necessari per usare la doppia crittografia. Per ulteriori informazioni, vedi https://aka.ms/disks-doubleEncryption. Audit, Deny, Disabled 1.0.0
I server MySQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
I dischi del sistema operativo e dei dati devono essere crittografati con una chiave gestita dal cliente Usare le chiavi gestite dal cliente per gestire la crittografia inattivi del contenuto dei dischi gestiti. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dalla piattaforma, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/disks-cmk. Audit, Deny, Disabled 3.0.0
I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati vengono crittografati inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono in genere necessarie per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave di Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. AuditIfNotExists, Disabled 1.0.4
Limitare l'accesso alle chiavi private CMA_0445 - Limitare l'accesso alle chiavi private Manuale, Disabilitato 1.1.0
Le query salvate in Monitoraggio di Azure devono essere salvate nell'account di archiviazione del cliente per la crittografia dei log Collegare l'account di archiviazione all'area di lavoro Log Analytics per proteggere le query salvate con la crittografia dell'account di archiviazione. Le chiavi gestite dal cliente sono in genere necessarie per soddisfare la conformità alle normative e per un maggiore controllo sull'accesso alle query salvate in Monitoraggio di Azure. Per altri dettagli su quanto sopra, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
bus di servizio gli spazi dei nomi Premium devono usare una chiave gestita dal cliente per la crittografia bus di servizio di Azure supporta la possibilità di crittografare i dati inattivi con chiavi gestite da Microsoft (impostazione predefinita) o chiavi gestite dal cliente. La scelta di crittografare i dati usando chiavi gestite dal cliente consente di assegnare, ruotare, disabilitare e revocare l'accesso alle chiavi che bus di servizio useranno per crittografare i dati nello spazio dei nomi. Si noti che bus di servizio supporta solo la crittografia con chiavi gestite dal cliente per gli spazi dei nomi Premium. Audit, Disabled 1.0.0
Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.0
I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi L'implementazione di Transparent Data Encryption con la chiave personale offre maggiore trasparenza e controllo su TDE Protector, sicurezza avanzata con un servizio esterno supportato dal modulo di protezione hardware e la promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. Audit, Deny, Disabled 2.0.1
Archiviazione ambiti di crittografia dell'account devono usare chiavi gestite dal cliente per crittografare i dati inattivi Usare le chiavi gestite dal cliente per gestire la crittografia inattivi degli ambiti di crittografia dell'account di archiviazione. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave dell'insieme di credenziali delle chiavi di Azure creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Altre informazioni sugli ambiti di crittografia dell'account di archiviazione sono disponibili in https://aka.ms/encryption-scopes-overview. Audit, Deny, Disabled 1.0.0
Archiviazione account devono usare la chiave gestita dal cliente per la crittografia Proteggere l'account di archiviazione BLOB e file con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'uso delle chiavi gestite dal cliente offre funzionalità aggiuntive per controllare la rotazione della chiave di crittografia della chiave o cancellare i dati in modo crittografico. Audit, Disabled 1.0.3

Disponibilità

ID: NIST SP 800-53 Rev. 5 SC-12 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Mantenere la disponibilità delle informazioni CMA_C1644 - Mantenere la disponibilità delle informazioni Manuale, Disabilitato 1.1.0

Chiavi simmetriche

ID: NIST SP 800-53 Rev. 5 SC-12 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Produrre, controllare e distribuire chiavi crittografiche simmetriche CMA_C1645 - Produrre, controllare e distribuire chiavi crittografiche simmetriche Manuale, Disabilitato 1.1.0

Chiavi asimmetriche

ID: NIST SP 800-53 Rev. 5 SC-12 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Produrre, controllare e distribuire chiavi crittografiche asimmetriche CMA_C1646 - Produrre, controllare e distribuire chiavi crittografiche asimmetriche Manuale, Disabilitato 1.1.0

Protezione crittografica

ID: NIST SP 800-53 Rev. 5 SC-13 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Definire l'uso crittografico CMA_0120 - Definire l'uso crittografico Manuale, Disabilitato 1.1.0

Dispositivi e applicazioni di elaborazione collaborativa

ID: NIST SP 800-53 Rev. 5 SC-15 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Notificare in modo esplicito l'uso di dispositivi di elaborazione collaborativi CMA_C1649 : notificare in modo esplicito l'uso di dispositivi di elaborazione collaborativi Manuale, Disabilitato 1.1.1
Impedire l'attivazione remota dei dispositivi di elaborazione collaborativa CMA_C1648 - Impedire l'attivazione remota di dispositivi di elaborazione collaborativi Manuale, Disabilitato 1.1.0

Certificati di infrastruttura a chiave pubblica

ID: NIST SP 800-53 Rev. 5 SC-17 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rilasciare certificati a chiave pubblica CMA_0347 - Rilasciare certificati a chiave pubblica Manuale, Disabilitato 1.1.0

Codice mobile

ID: NIST SP 800-53 Rev. 5 SC-18 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice per dispositivi mobili CMA_C1653 - Autorizzare, monitorare e controllare l'utilizzo delle tecnologie di codice per dispositivi mobili Manuale, Disabilitato 1.1.0
Definire tecnologie di codice mobile accettabili e inaccettabili CMA_C1651 - Definire tecnologie di codice per dispositivi mobili accettabili e inaccettabili Manuale, Disabilitato 1.1.0
Stabilire restrizioni di utilizzo per le tecnologie di codice per dispositivi mobili CMA_C1652 - Stabilire restrizioni di utilizzo per le tecnologie di codice per dispositivi mobili Manuale, Disabilitato 1.1.0

Secure Name/address Resolution Service (origine autorevole)

ID: NIST SP 800-53 Rev. 5 SC-20 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare un servizio nome/indirizzo a tolleranza di errore CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore Manuale, Disabilitato 1.1.0
Fornire servizi di risoluzione dei nomi e degli indirizzi sicuri CMA_0416 - Fornire servizi di risoluzione dei nomi e degli indirizzi sicuri Manuale, Disabilitato 1.1.0

Servizio di risoluzione dei nomi/indirizzi sicuri (resolver ricorsivo o di memorizzazione nella cache)

ID: NIST SP 800-53 Rev. 5 SC-21 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare un servizio nome/indirizzo a tolleranza di errore CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore Manuale, Disabilitato 1.1.0
Verificare l'integrità del software, del firmware e delle informazioni CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni Manuale, Disabilitato 1.1.0

Architettura e provisioning per il servizio di risoluzione dei nomi/indirizzi

ID: NIST SP 800-53 Rev. 5 SC-22 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Implementare un servizio nome/indirizzo a tolleranza di errore CMA_0305 - Implementare un servizio nome/indirizzo a tolleranza di errore Manuale, Disabilitato 1.1.0

Autenticità della sessione

ID: NIST SP 800-53 Rev. 5 SC-23 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Configurare le workstation per verificare la presenza di certificati digitali CMA_0073 - Configurare le workstation per verificare la presenza di certificati digitali Manuale, Disabilitato 1.1.0
Applicare identificatori di sessione univoci casuali CMA_0247 - Applicare identificatori di sessione univoci casuali Manuale, Disabilitato 1.1.0

Invalidare gli identificatori di sessione in Disconnessione

ID: NIST SP 800-53 Rev. 5 SC-23 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Invalidare gli identificatori di sessione alla disconnessione CMA_C1661 - Invalidare gli identificatori di sessione alla disconnessione Manuale, Disabilitato 1.1.0

Errore in uno stato conosciuto

ID: NIST SP 800-53 Rev. 5 SC-24 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare che il sistema informativo non riesca nello stato noto CMA_C1662 - Verificare che il sistema informativo non riesca nello stato noto Manuale, Disabilitato 1.1.0

Protezione delle informazioni inattive

ID: NIST SP 800-53 Rev. 5 SC-28 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
ambiente del servizio app deve essere abilitata la crittografia interna L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. Audit, Deny, Disabled 1.0.0
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I dispositivi Azure Stack Edge devono usare la doppia crittografia Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
La crittografia dei dischi deve essere abilitata in Esplora dati di Azure L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Audit, Deny, Disabled 2.0.0
La crittografia doppia deve essere abilitata in Esplora dati di Azure L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. Audit, Deny, Disabled 2.0.0
Stabilire una procedura di gestione della perdita di dati CMA_0255 - Stabilire una procedura di gestione della perdita di dati Manuale, Disabilitato 1.1.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. Audit, Deny, Disabled 1.0.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 Audit, Deny, Disabled 1.0.0
Proteggere informazioni speciali CMA_0409 - Proteggere informazioni speciali Manuale, Disabilitato 1.1.0
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente Audit, Deny, Disabled 1.1.0
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. Audit, Deny, Disabled 1.0.0
È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. Audit, Deny, Disabled 1.0.1
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Protezione crittografica

ID: NIST SP 800-53 Rev. 5 SC-28 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
ambiente del servizio app deve essere abilitata la crittografia interna L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. Audit, Disabled 1.0.1
Le variabili dell'account di automazione devono essere crittografate È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili Audit, Deny, Disabled 1.1.0
I processi di Azure Data Box devono abilitare la crittografia doppia per i dati inattivi nel dispositivo Abilita un secondo livello di crittografia basata sul software per i dati inattivi nel dispositivo. Il dispositivo è già protetto tramite la crittografia Advanced Encryption Standard a 256 bit per i dati inattivi. Questa opzione aggiunge un secondo livello di crittografia dei dati. Audit, Deny, Disabled 1.0.0
I cluster di log di Monitoraggio di Azure devono essere creati con la crittografia dell'infrastruttura abilitata (doppia crittografia) Per garantire che la crittografia dei dati sicura sia abilitata a livello di servizio e a livello di infrastruttura con due algoritmi di crittografia diversi e due chiavi diverse, usare un cluster dedicato di Monitoraggio di Azure. Questa opzione è abilitata per impostazione predefinita se supportata nell'area, vedere https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
I dispositivi Azure Stack Edge devono usare la doppia crittografia Per proteggere i dati inattivi nel dispositivo, assicurarsi che venga applicata la doppia crittografia, che l'accesso ai dati sia controllato e che, quando il dispositivo viene disattivato, i dati vengano cancellati in modo sicuro dai dischi dati. La doppia crittografia è l'uso di due livelli di crittografia: crittografia bitLocker XTS-AES a 256 bit nei volumi di dati e crittografia predefinita dei dischi rigidi. Per altre informazioni, vedere la documentazione sulla panoramica della sicurezza per il dispositivo Stack Edge specifico. audit, Audit, Deny, Deny, disabled, Disabled 1.1.0
La crittografia dei dischi deve essere abilitata in Esplora dati di Azure L'abilitazione della crittografia dei dischi consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Audit, Deny, Disabled 2.0.0
La crittografia doppia deve essere abilitata in Esplora dati di Azure L'abilitazione della doppia crittografia consente di proteggere e tutelare i dati per soddisfare gli impegni dell'organizzazione in termini di sicurezza e conformità. Una volta abilitata la doppia crittografia, i dati nell'account di archiviazione vengono crittografati due volte, una volta a livello del servizio e una volta a livello dell'infrastruttura, usando due algoritmi di crittografia diversi e due chiavi diverse. Audit, Deny, Disabled 2.0.0
Implementare controlli per proteggere tutti i supporti CMA_0314 - Implementare controlli per proteggere tutti i supporti Manuale, Disabilitato 1.1.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per MySQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per MySQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2. Audit, Deny, Disabled 1.0.0
La crittografia dell'infrastruttura deve essere abilitata per i server di Database di Azure per PostgreSQL Abilita la crittografia dell'infrastruttura per i server di Database di Azure per PostgreSQL per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati inattivi vengono crittografati due volte con chiavi gestite da Microsoft conformi a FIPS 140-2 Audit, Deny, Disabled 1.0.0
Proteggere i dati in transito tramite la crittografia CMA_0403 - Proteggere i dati in transito tramite la crittografia Manuale, Disabilitato 1.1.0
La proprietà ClusterProtectionLevel dei cluster di Service Fabric dovrebbe essere impostata su EncryptAndSign Service Fabric offre tre livelli di protezione (None, Sign ed EncryptAndSign) per la comunicazione da nodo a nodo mediante un certificato cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente Audit, Deny, Disabled 1.1.0
È necessario abilitare la crittografia dell'infrastruttura per gli account di archiviazione Abilita la crittografia dell'infrastruttura per garantire un livello più elevato di sicurezza dei dati. Quando la crittografia dell'infrastruttura è abilitata, i dati in un account di archiviazione vengono crittografati due volte. Audit, Deny, Disabled 1.0.0
È necessario applicare la crittografia a livello di host ai dischi temporanei e alla cache per i pool di nodi degli agenti nei cluster del servizio Azure Kubernetes Per migliorare la sicurezza dei dati, i dati archiviati nell'host della macchina virtuale (VM) delle macchine virtuali dei nodi servizio Azure Kubernetes devono essere crittografati inattivi. Si tratta di un requisito comune in numerosi standard normativi e di conformità del settore. Audit, Deny, Disabled 1.0.1
È consigliabile abilitare Transparent Data Encryption nei database SQL Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità AuditIfNotExists, Disabled 2.0.0
Le macchine virtuali e i set di scalabilità di macchine virtuali devono avere la crittografia abilitata per l'host Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/dati. I dischi temporanei e temporanei del sistema operativo vengono crittografati con chiavi gestite dalla piattaforma quando la crittografia nell'host è abilitata. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. Audit, Deny, Disabled 1.0.0
Le macchine virtuali devono crittografare dischi temporanei, cache e flussi di dati tra risorse di calcolo e Archiviazione Per impostazione predefinita, il sistema operativo e i dischi dati di una macchina virtuale vengono crittografati inattivi tramite chiavi gestite dalla piattaforma. I dischi temporanei, le cache dei dati e il flusso di dati tra calcolo e archiviazione non vengono crittografati. Ignorare questa raccomandazione se: 1. tramite crittografia at-host o 2. La crittografia lato server in Managed Disks soddisfa i requisiti di sicurezza. Per altre informazioni, vedere Crittografia lato server di Azure Disk Archiviazione: https://aka.ms/disksse, Offerte di crittografia dischi diverse:https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

Isolamento del processo

ID: NIST SP 800-53 Rev. 5 SC-39 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Gestire domini di esecuzione separati per i processi in esecuzione CMA_C1665 - Gestire domini di esecuzione separati per i processi in esecuzione Manuale, Disabilitato 1.1.0

Integrità del sistema e delle informazioni

Criteri e procedure

ID: NIST SP 800-53 Rev. 5 SI-1 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni CMA_C1667 - Esaminare e aggiornare i criteri e le procedure di integrità delle informazioni Manuale, Disabilitato 1.1.0

Correzione degli errori

ID: NIST SP 800-53 Rev. 5 SI-2 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. Il piano tariffario standard del Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. AuditIfNotExists, Disabled 3.0.0
servizio app le app devono usare la versione HTTP più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Le app per le funzioni devono usare la versione HTTP più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Integrare la correzione dei difetti nella gestione della configurazione CMA_C1671 - Incorpora correzione dei difetti nella gestione della configurazione Manuale, Disabilitato 1.1.0
I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ Audit, Disabled 1.0.2
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0
I database SQL devono avere i risultati della vulnerabilità risolti Monitorare i risultati e le raccomandazioni per l'analisi della valutazione della vulnerabilità per correggere le vulnerabilità del database. AuditIfNotExists, Disabled 4.1.0
Gli aggiornamenti di sistema nei set di scalabilità di macchine virtuali devono essere installati Controlla se devono essere installati aggiornamenti critici e aggiornamenti della sicurezza del sistema mancanti per garantire che i set di scalabilità di macchine virtuali Windows e Linux siano sicuri. AuditIfNotExists, Disabled 3.0.0
Gli aggiornamenti di sistema devono essere installati nelle macchine Gli aggiornamenti di sistema per la sicurezza nei server verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 4.0.0
Le vulnerabilità nella configurazione di sicurezza delle macchine devono essere risolte I server che non soddisfano la baseline configurata verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.1.0
Le vulnerabilità nella configurazione di sicurezza dei set di scalabilità di macchine virtuali devono essere risolte Controlla le vulnerabilità del sistema operativo nei set di scalabilità di macchine virtuali per proteggerli da attacchi. AuditIfNotExists, Disabled 3.0.0

Stato di correzione automatica dei difetti

ID: NIST SP 800-53 Rev. 5 SI-2 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Automatizzare la correzione degli errori CMA_0027 - Automatizzare la correzione degli errori Manuale, Disabilitato 1.1.0
Correggere i difetti del sistema informativo CMA_0427 - Correggere i difetti del sistema informativo Manuale, Disabilitato 1.1.0

Tempo necessario per correggere i difetti e i benchmark per le azioni correttive

ID: NIST SP 800-53 Rev. 5 SI-2 (3) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Stabilire benchmark per la correzione dei difetti CMA_C1675 - Stabilire benchmark per la correzione dei difetti Manuale, Disabilitato 1.1.0
Misurare il tempo tra l'identificazione dei difetti e la correzione dei difetti CMA_C1674 - Misurare il tempo tra l'identificazione dei difetti e la correzione dei difetti Manuale, Disabilitato 1.1.0

Rimozione di versioni precedenti di software e firmware

ID: NIST SP 800-53 Rev. 5 SI-2 (6) Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
servizio app le app devono usare la versione HTTP più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
Le app per le funzioni devono usare la versione HTTP più recente Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. AuditIfNotExists, Disabled 4.0.0
I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ Audit, Disabled 1.0.2

Protezione dal malware

ID: NIST SP 800-53 Rev. 5 SI-3 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Bloccare processi non attendibili e non firmati eseguiti da USB CMA_0050 - Blocca processi non attendibili e non firmati eseguiti da USB Manuale, Disabilitato 1.1.0
La soluzione Endpoint Protection deve essere installata nei set di scalabilità di macchine virtuali Controlla la presenza e l'integrità di una soluzione Endpoint Protection nei set di scalabilità di macchine virtuali per proteggerli da minacce e vulnerabilità. AuditIfNotExists, Disabled 3.0.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Monitorare il server senza Endpoint Protection nel Centro sicurezza di Azure I server in cui non è installato un agente di Endpoint Protection verranno monitorati dal Centro sicurezza di Azure che invierà i consigli corrispondenti AuditIfNotExists, Disabled 3.0.0
Eseguire un'analisi delle tendenze sulle minacce CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce Manuale, Disabilitato 1.1.0
Eseguire analisi delle vulnerabilità CMA_0393 - Eseguire analisi delle vulnerabilità Manuale, Disabilitato 1.1.0
Esaminare il report rilevamenti malware settimanalmente CMA_0475 - Esaminare il report rilevamenti malware settimanalmente Manuale, Disabilitato 1.1.0
Esaminare lo stato della protezione dalle minacce ogni settimana CMA_0479 - Esaminare lo stato della protezione dalle minacce ogni settimana Manuale, Disabilitato 1.1.0
Aggiornare le definizioni antivirus CMA_0517 - Aggiornare le definizioni antivirus Manuale, Disabilitato 1.1.0
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Monitoraggio di sistema

ID: NIST SP 800-53 Rev. 5 SI-4 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
[Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato AuditIfNotExists, Disabled 3.0.0-preview
[Anteprima]: i cluster Kubernetes con abilitazione di Azure Arc devono avere Microsoft Defender per il cloud estensione installata Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes abilitati per Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al back-end di Azure Defender per Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. AuditIfNotExists, Disabled 6.0.0-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Linux di Azure Arc Questo criterio controlla i computer Linux di Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: l'estensione Log Analytics deve essere installata nei computer Windows Azure Arc Questo criterio controlla i computer Windows Azure Arc se l'estensione Log Analytics non è installata. AuditIfNotExists, Disabled 1.0.1-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Linux Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
[Anteprima]: L'agente di raccolta dati del traffico di rete deve essere installato nelle macchine virtuali Windows Centro sicurezza usa Microsoft Dependency Agent per raccogliere i dati sul traffico di rete dalle macchine virtuali di Azure per abilitare funzionalità di protezione della rete avanzate, ad esempio la visualizzazione del traffico sulla mappa di rete, le raccomandazioni di protezione avanzata della rete e minacce alla rete specifiche. AuditIfNotExists, Disabled 1.0.2-preview
È consigliabile abilitare il provisioning automatico dell'agente di Log Analytics nella sottoscrizione Per monitorare le minacce e le vulnerabilità della sicurezza, Centro sicurezza di Azure raccoglie i dati dalle macchine virtuali di Azure. I dati vengono raccolti dall'agente di Log Analytics, precedentemente noto come Microsoft Monitoring Agent (MMA), che esegue la lettura di varie configurazioni relative alla sicurezza e log eventi dalla macchina virtuale e copia i dati nell'area di lavoro Log Analytics per l'analisi. È consigliabile abilitare il provisioning automatico per distribuire automaticamente l'agente in tutte le macchine virtuali di Azure supportate e in tutte le nuove macchine virtuali che vengono create. AuditIfNotExists, Disabled 1.0.1
Azure Defender per il Servizio app deve essere abilitato Azure Defender per il Servizio app sfrutta la portata del cloud e la visibilità di Azure come provider di servizi cloud per monitorare gli attacchi alle app Web più comuni. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server di database SQL di Azure deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per Key Vault deve essere abilitato Azure Defender per Key Vault fornisce un ulteriore livello di protezione e di intelligence per sulla sicurezza grazie al rilevamento di tentativi insoliti e potenzialmente dannosi di accesso o sfruttamento degli account di Key Vault. AuditIfNotExists, Disabled 1.0.3
Azure Defender per Resource Manager deve essere abilitato Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi relativi alle attività sospette. Altre informazioni sulle funzionalità di Azure Defender per Resource Manager sono disponibili all'indirizzo https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano di Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center . AuditIfNotExists, Disabled 1.0.0
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Azure Defender per i server SQL nelle macchine virtuali deve essere abilitato Azure Defender per SQL fornisce funzionalità per l'individuazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che possono indicare minacce ai database SQL e l'individuazione e la classificazione di dati sensibili. AuditIfNotExists, Disabled 1.0.2
Azure Defender per SQL deve essere abilitato per i server SQL di Azure non protetti Controlla server SQL senza Sicurezza dei dati avanzata AuditIfNotExists, Disabled 2.0.1
Azure Defender per SQL deve essere abilitato per le Istanza gestita di SQL non protette Controlla ogni istanza gestita di SQL senza Sicurezza dei dati avanzata. AuditIfNotExists, Disabled 1.0.2
L'estensione configurazione guest deve essere installata nei computer Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, saranno disponibili i criteri nei guest, ad esempio "È consigliabile abilitare Windows Defender Exploit Guard". Per ulteriori informazioni, vedi https://aka.ms/gcpol. AuditIfNotExists, Disabled 1.0.3
L'agente di Log Analytics deve essere installato nella macchina virtuale per il monitoraggio del Centro sicurezza di Azure Questo criterio controlla le macchine virtuali Windows/Linux per verificare se l'agente di Log Analytics usato dal Centro sicurezza per monitorare le minacce e le vulnerabilità di protezione non è installato AuditIfNotExists, Disabled 1.0.0
L'agente di Log Analytics deve essere installato nei set di scalabilità di macchine virtuali per il monitoraggio del Centro sicurezza di Azure Il Centro sicurezza raccoglie i dati dalle macchine virtuali di Azure per monitorare le minacce e le vulnerabilità di protezione. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per contenitori deve essere abilitato Microsoft Defender per contenitori offre protezione avanzata, valutazione delle vulnerabilità e protezioni in fase di esecuzione per gli ambienti Kubernetes azure, ibridi e multi-cloud. AuditIfNotExists, Disabled 1.0.0
Microsoft Defender per Archiviazione deve essere abilitato Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. Il nuovo piano defender per Archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura dei prezzi prevedibile (per account di archiviazione) per il controllo sulla copertura e sui costi. AuditIfNotExists, Disabled 1.0.0
È consigliabile abilitare Network Watcher Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. AuditIfNotExists, Disabled 3.0.0
Ottenere un parere legale per le attività del sistema di monitoraggio CMA_C1688 - Ottenere un parere legale per le attività del sistema di monitoraggio Manuale, Disabilitato 1.1.0
Eseguire un'analisi delle tendenze sulle minacce CMA_0389 - Eseguire un'analisi delle tendenze sulle minacce Manuale, Disabilitato 1.1.0
Fornire informazioni di monitoraggio in base alle esigenze CMA_C1689 - Fornire informazioni di monitoraggio in base alle esigenze Manuale, Disabilitato 1.1.0
L'estensione configurazione guest delle macchine virtuali deve essere distribuita con l'identità gestita assegnata dal sistema L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Le macchine virtuali di Azure nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol AuditIfNotExists, Disabled 1.0.1

Strumenti e meccanismi automatizzati per l'analisi in tempo reale

ID: NIST SP 800-53 Rev. 5 SI-4 (2) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Operazioni di sicurezza dei documenti CMA_0202 - Documentare le operazioni di sicurezza Manuale, Disabilitato 1.1.0
Attivare i sensori per la soluzione di sicurezza degli endpoint CMA_0514 - Attivare i sensori per la soluzione di sicurezza degli endpoint Manuale, Disabilitato 1.1.0

Traffico delle comunicazioni in ingresso e in uscita

ID: NIST SP 800-53 Rev. 5 SI-4 (4) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Autorizzare, monitorare e controllare voip CMA_0025 - Autorizzare, monitorare e controllare voip Manuale, Disabilitato 1.1.0
Implementare la protezione dei limiti di sistema CMA_0328 - Implementare la protezione dei limiti del sistema Manuale, Disabilitato 1.1.0
Gestire i gateway CMA_0363 - Gestire i gateway Manuale, Disabilitato 1.1.0
Instradare il traffico attraverso i punti di accesso alla rete gestita CMA_0484 - Instradare il traffico attraverso i punti di accesso alla rete gestita Manuale, Disabilitato 1.1.0

Avvisi generati dal sistema

ID: NIST SP 800-53 Rev. 5 SI-4 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Avvisare il personale della fuga di informazioni CMA_0007 - Avvisare il personale della fuga di informazioni Manuale, Disabilitato 1.1.0
Sviluppare un piano di risposta agli eventi imprevisti CMA_0145 - Sviluppare un piano di risposta agli eventi imprevisti Manuale, Disabilitato 1.1.0
Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione CMA_0495 - Impostare notifiche automatizzate per le applicazioni cloud nuove e di tendenza nell'organizzazione Manuale, Disabilitato 1.1.0

Avvisi automatizzati generati dall'organizzazione

ID: NIST SP 800-53 Rev. 5 SI-4 (12) Proprietà: Customer

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 1.0.1
È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. AuditIfNotExists, Disabled 2.0.0
Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. AuditIfNotExists, Disabled 1.0.1

Rilevamento intrusioni wireless

ID: NIST SP 800-53 Rev. 5 SI-4 (14) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Documentare i controlli di sicurezza dell'accesso wireless CMA_C1695 - Documentare i controlli di sicurezza dell'accesso wireless Manuale, Disabilitato 1.1.0

Servizi di rete non autorizzati

ID: NIST SP 800-53 Rev. 5 SI-4 (22) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Rilevare i servizi di rete che non sono stati autorizzati o approvati CMA_C1700 - Rilevare i servizi di rete non autorizzati o approvati Manuale, Disabilitato 1.1.0

Indicatori di compromissione

ID: NIST SP 800-53 Rev. 5 SI-4 (24) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Individuare eventuali indicatori di compromissione CMA_C1702 - Individuare eventuali indicatori di compromissione Manuale, Disabilitato 1.1.0

Avvisi, avvisi di sicurezza e direttive

ID: NIST SP 800-53 Rev. 5 SI-5 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Diffondere gli avvisi di sicurezza al personale CMA_C1705 - Distribuire avvisi di sicurezza al personale Manuale, Disabilitato 1.1.0
Stabilire un programma di intelligence per le minacce CMA_0260 - Stabilire un programma di intelligence per le minacce Manuale, Disabilitato 1.1.0
Generare avvisi di sicurezza interni CMA_C1704 - Generare avvisi di sicurezza interni Manuale, Disabilitato 1.1.0
Implementare le direttive di sicurezza CMA_C1706 - Implementare le direttive di sicurezza Manuale, Disabilitato 1.1.0

Avvisi e avvisi automatizzati

ID: NIST SP 800-53 Rev. 5 SI-5 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare meccanismi automatizzati per gli avvisi di sicurezza CMA_C1707 - Usare meccanismi automatizzati per gli avvisi di sicurezza Manuale, Disabilitato 1.1.0

Verifica delle funzioni di sicurezza e privacy

ID: NIST SP 800-53 Rev. 5 SI-6 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Creare azioni alternative per le anomalie identificate CMA_C1711 - Creare azioni alternative per le anomalie identificate Manuale, Disabilitato 1.1.0
Notificare al personale eventuali test di verifica della sicurezza non superati CMA_C1710 - Notificare al personale eventuali test di verifica della sicurezza non superati Manuale, Disabilitato 1.1.0
Eseguire la verifica delle funzioni di sicurezza a una frequenza definita CMA_C1709 - Eseguire la verifica della funzione di sicurezza a una frequenza definita Manuale, Disabilitato 1.1.0
Verificare le funzioni di sicurezza CMA_C1708 - Verificare le funzioni di sicurezza Manuale, Disabilitato 1.1.0

Integrità di software, firmware e informazioni

ID: NIST SP 800-53 Rev. 5 SI-7 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare l'integrità del software, del firmware e delle informazioni CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni Manuale, Disabilitato 1.1.0

Controlli di integrità

ID: NIST SP 800-53 Rev. 5 SI-7 (1) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Verificare l'integrità del software, del firmware e delle informazioni CMA_0542 - Verificare l'integrità del software, del firmware e delle informazioni Manuale, Disabilitato 1.1.0
Visualizzare e configurare i dati di diagnostica del sistema CMA_0544 - Visualizzare e configurare i dati di diagnostica del sistema Manuale, Disabilitato 1.1.0

Risposta automatica alle violazioni dell'integrità

ID: NIST SP 800-53 Rev. 5 SI-7 (5) Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Usare l'arresto/riavvio automatico quando vengono rilevate violazioni CMA_C1715 - Usare l'arresto/riavvio automatico quando vengono rilevate violazioni Manuale, Disabilitato 1.1.0

Convalida dell'input di informazioni

ID: NIST SP 800-53 Rev. 5 SI-10 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Eseguire la convalida dell'input delle informazioni CMA_C1723 - Eseguire la convalida dell'input delle informazioni Manuale, Disabilitato 1.1.0

Gestione errori

ID: NIST SP 800-53 Rev. 5 SI-11 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Generare messaggi di errore CMA_C1724 - Generare messaggi di errore Manuale, Disabilitato 1.1.0
Visualizzare i messaggi di errore CMA_C1725 - Visualizzare i messaggi di errore Manuale, Disabilitato 1.1.0

Gestione e conservazione delle informazioni

ID: NIST SP 800-53 Rev. 5 SI-12 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Controllare l'accesso fisico CMA_0081 - Controllare l'accesso fisico Manuale, Disabilitato 1.1.0
Gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati CMA_0369 : gestire l'input, l'output, l'elaborazione e l'archiviazione dei dati Manuale, Disabilitato 1.1.0
Esaminare l'attività e l'analisi delle etichette CMA_0474 - Esaminare l'attività e l'analisi delle etichette Manuale, Disabilitato 1.1.0

Protezione della memoria

ID: NIST SP 800-53 Rev. 5 SI-16 Proprietà: Condiviso

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
Azure Defender per i server deve essere abilitato Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro dei server e genera raccomandazioni per la protezione avanzata e avvisi sulle attività sospette. AuditIfNotExists, Disabled 1.0.3
Windows Defender Exploit Guard deve essere abilitato nei computer Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi da un'ampia gamma di vettori di attacco e comportamenti di blocco usati comunemente negli attacchi malware, consentendo al contempo alle aziende di bilanciare i requisiti di rischi per la sicurezza e produttività (solo Windows). AuditIfNotExists, Disabled 2.0.0

Passaggi successivi

Articoli aggiuntivi su Criteri di Azure: