Criteri di Azure definizioni predefinite per i servizi di rete di Azure
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefiniti per i servizi di rete di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Servizi di rete di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: Tutto il traffico Internet deve essere instradato tramite il Firewall di Azure distribuito | Il Centro sicurezza di Azure ha rilevato che alcune delle subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitandone l'accesso tramite un firewall di Azure o un firewall di nuova generazione supportato | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Anteprima]: le gateway applicazione devono essere resilienti per la zona | gateway applicazione possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. gateway applicazione smthat havenexactly una voce nella matrice di zone è considerata allineata alla zona. Al contrario, Application Gatmways withn3 o più voci nella matrice di zone vengono riconosciute come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per la risoluzione in Insiemi di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0-preview |
| [Anteprima]: Configurare gli insiemi di credenziali di Servizi di ripristino per l'uso di zone DNS private per il backup | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali di Servizi di ripristino. Per altre informazioni, vedere https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, Disabled | 1.0.1-preview |
| [Anteprima]: I firewall devono essere resilienti alla zona | I firewall possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I firewall che hanno esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i firewall con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: i servizi di bilanciamento del carico devono essere resilienti per la zona | I servizi di bilanciamento del carico con uno SKU diverso da Basic ereditano la resilienza degli indirizzi IP pubblici nel front-end. Se combinato con i criteri "Indirizzi IP pubblici deve essere resiliente alla zona", questo approccio garantisce la ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Il gateway NAT deve essere allineato alla zona | Il gateway NAT può essere configurato in modo che sia allineato o meno alla zona. Il gateway NAT con esattamente una voce nella matrice di zone è considerato allineato alla zona. Questo criterio garantisce che un gateway NAT sia configurato per funzionare all'interno di una singola zona di disponibilità. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: Gli indirizzi IP pubblici devono essere resilienti per la zona | Gli indirizzi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. Gli indirizzi IP pubblici a livello di area, con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, gli indirizzi IP pubblici a livello di area, con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.1.0-preview |
| [Anteprima]: I prefissi IP pubblici devono essere resilienti alla zona | I prefissi IP pubblici possono essere configurati in modo che siano allineati alla zona, ridondanti della zona o nessuno dei due. I prefissi IP pubblici con esattamente una voce nella matrice di zone sono considerati allineati alla zona. Al contrario, i prefissi IP pubblici con 3 o più voci nella matrice di zone vengono riconosciuti come ridondanti della zona. Questo criterio consente di identificare e applicare queste configurazioni di resilienza. | Audit, Deny, Disabled | 1.0.0-preview |
| [Anteprima]: I gateway di rete virtuale devono essere ridondanti della zona | I gateway di rete virtuale possono essere configurati in modo che siano ridondanti o meno della zona. I gateway di rete virtuale il cui nome o livello sku non termina con "AZ" non sono ridondanti della zona. Questo criterio identifica i gateway di rete virtuale privi della ridondanza necessaria per resistere a un'interruzione della zona. | Audit, Deny, Disabled | 1.0.0-preview |
| È necessario applicare un criterio IPSec/IKE personalizzato a tutte le connessioni del gateway di rete virtuale di Azure | Questo criterio garantisce che tutte le connessioni del gateway di rete virtuale di Azure usino un criterio IPSec (Internet Protocol Security)/IKE (Internet Key Exchange) personalizzato. Per i livelli di attendibilità delle chiavi e gli algoritmi supportati, vedere https://aka.ms/AA62kb0. | Audit, Disabled | 1.0.0 |
| Tutte le risorse del log del flusso devono essere in stato abilitato | Controllare le risorse del log del flusso per verificare se lo stato del log del flusso è abilitato. L'abilitazione dei log dei flussi consente di registrare informazioni sul flusso del traffico IP. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| Configurazione dei log dei flussi di controllo per ogni rete virtuale | Controllare la rete virtuale per verificare se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso la rete virtuale. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.0.1 |
| app Azure lication Gateway deve essere distribuito con Azure WAF | Richiede che le risorse del gateway di app Azure lication vengano distribuite con Azure WAF. | Audit, Deny, Disabled | 1.0.0 |
| app Azure lication Gateway deve avere i log delle risorse abilitati | Abilitare i log delle risorse per app Azure lication Gateway (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| Protezione DDoS di Azure deve essere abilitata | La protezione DDoS deve essere abilitata per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | AuditIfNotExists, Disabled | 3.0.1 |
| I criteri firewall di Azure devono abilitare l'ispezione TLS nelle regole dell'applicazione | È consigliabile abilitare l'ispezione TLS per tutte le regole dell'applicazione per rilevare, avvisare e attenuare le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitarehttps://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Firewall di Azure Premium deve configurare un certificato intermedio valido per abilitare l'ispezione TLS | Configurare un certificato intermedio valido e abilitare Firewall di Azure ispezione TLS Premium per rilevare, inviare avvisi e attenuare le attività dannose in HTTPS. Per altre informazioni sull'ispezione TLS con Firewall di Azure, visitarehttps://aka.ms/fw-tlsinspect | Audit, Deny, Disabled | 1.0.0 |
| Frontdoor di Azure deve avere i log delle risorse abilitati | Abilitare i log delle risorse per Frontdoor di Azure (più WAF) e trasmettere a un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico Web in ingresso e sulle azioni eseguite per attenuare gli attacchi. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN di Azure non devono usare lo SKU 'Basic' | Questo criterio garantisce che i gateway VPN non usino lo SKU 'Basic'. | Audit, Disabled | 1.0.0 |
| Web application firewall di Azure nel gateway di app Azure lication deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che i web application firewall associati ai gateway di app Azure lication dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure in Frontdoor di Azure deve avere l'ispezione del corpo della richiesta abilitata | Assicurarsi che web application firewall associati a Frontdoor di Azure dispongano dell'ispezione del corpo della richiesta abilitata. Ciò consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI. | Audit, Deny, Disabled | 1.0.0 |
| Web application firewall di Azure deve essere abilitato per i punti di ingresso di Frontdoor di Azure | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 1.0.2 |
| Protezione bot deve essere abilitata per app Azure waf gateway | Questo criterio garantisce che la protezione dei bot sia abilitata in tutti i criteri web application firewall (WAF) del gateway di app Azure | Audit, Deny, Disabled | 1.0.0 |
| La protezione bot deve essere abilitata per Frontdoor di Azure WAF | Questo criterio garantisce che la protezione del bot sia abilitata in tutti i criteri web application firewall (WAF) di Frontdoor di Azure | Audit, Deny, Disabled | 1.0.0 |
| L'elenco di bypass del sistema di rilevamento e prevenzione delle intrusioni (IDPS) deve essere vuoto in Criteri firewall Premium | L'elenco di bypass del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di non filtrare il traffico verso indirizzi IP, intervalli e subnet specificati nell'elenco di bypass. Tuttavia, l'abilitazione di IDPS è consigliata per tutti i flussi di traffico per identificare meglio le minacce note. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo BLOB | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID BLOB. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per blob_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID blob_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per dfs groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato dfs groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per dfs_secondary groupID | Configurare il gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID dfs_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo di file | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato di file groupID. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per il groupID della coda | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID della coda. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per queue_secondary groupID | Configurare il gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID queue_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo di tabelle | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID di tabella. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per table_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID table_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per l'ID gruppo Web | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID Web. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare un ID zona DNS privato per web_secondary groupID | Configurare un gruppo di zone DNS privato per eseguire l'override della risoluzione DNS per un endpoint privato groupID web_secondary. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare servizio app app per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega una rete virtuale a un servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli ambiti di collegamento privato di Azure Arc per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli ambiti di collegamento privato di Azure Arc. Per altre informazioni, vedere https://aka.ms/arc/privatelink. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare gli account Automazione di Azure con zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. È necessaria una zona DNS privata configurata correttamente per connettersi all'account Automazione di Azure tramite collegamento privato di Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare cache di Azure per Redis per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere cache di Azure per Redis. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Ricerca cognitiva di Azure servizi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Ricerca cognitiva di Azure. Per altre informazioni, vedere https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare l'area di lavoro di Azure Databricks per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere le aree di lavoro di Azure Databricks. Per altre informazioni, vedere https://aka.ms/adbpe. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare l'aggiornamento dei dispositivi di Azure per gli account hub IoT per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per Aggiornamento dispositiviper hub IoT endpoint privati. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Sincronizzazione file di Azure per l'uso di zone DNS private | Per accedere agli endpoint privati per Archiviazione interfacce di risorse del servizio di sincronizzazione da un server registrato, è necessario configurare il DNS per risolvere i nomi corretti negli indirizzi IP privati dell'endpoint privato. Questo criterio crea i record azure DNS privato zona e A necessari per le interfacce degli endpoint privati del servizio di sincronizzazione Archiviazione. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare i cluster Azure HDInsight per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere i cluster Azure HDInsight. Per altre informazioni, vedere https://aka.ms/hdi.pl. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Azure Key Vault per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'insieme di credenziali delle chiavi. Per altre informazioni, vedere https://aka.ms/akvprivatelink. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare l'area di lavoro di Azure Machine Learning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Azure Machine Learning. Per altre informazioni, vedere https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare le aree di lavoro di Grafana gestite di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le aree di lavoro di Grafana gestite di Azure. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Servizi multimediali account. Per altre informazioni, vedere https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Servizi multimediali di Azure con endpoint privati | Gli endpoint privati connettono le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati a Servizi multimediali, è possibile ridurre i rischi di perdita dei dati. Altre informazioni sui collegamenti privati sono disponibili in: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di Azure Migrate per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il progetto di Azure Migrate. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare Monitoraggio di Azure collegamento privato Ambito per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'ambito del collegamento privato di Monitoraggio di Azure. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le aree di lavoro di Azure Synapse per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'area di lavoro di Azure Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le risorse del pool di host di Desktop virtuale Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse dell'area di lavoro di Desktop virtuale Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse di Desktop virtuale Azure. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare il servizio Web pubSub di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere il servizio Web PubSub di Azure. Per altre informazioni, vedere https://aka.ms/awps/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di BotService per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere le risorse correlate a BotService. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli account di Servizi cognitivi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli account di Servizi cognitivi. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i registri contenitori per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata è collegata alla rete virtuale per risolvere il problema nel Registro Container. Per altre informazioni, vedere: https://aka.ms/privatednszone e https://aka.ms/acr/private-link. | DeployIfNotExists, Disabled | 1.0.1 |
| Configurare gli account CosmosDB per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere l'account CosmosDB. Per altre informazioni, vedere https://aka.ms/privatednszone. | DeployIfNotExists, Disabled | 2.0.0 |
| Configurare le impostazioni di diagnostica per i gruppi di sicurezza di rete di Azure nell'area di lavoro Log Analytics | Distribuire le impostazioni di diagnostica nei gruppi di sicurezza di rete di Azure per trasmettere i log delle risorse a un'area di lavoro Log Analytics. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le risorse di accesso al disco per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un disco gestito. Per altre informazioni, vedere https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi di Hub eventi per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere gli spazi dei nomi di Hub eventi. Per altre informazioni, vedere https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare hub IoT istanze di device provisioning per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere un'istanza del servizio device provisioning hub IoT. Per altre informazioni, vedere https://aka.ms/iotdpsvnet. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare i gruppi di sicurezza di rete per abilitare l'analisi del traffico | L'analisi del traffico può essere abilitata per tutti i gruppi di sicurezza di rete ospitati in un'area specifica con le impostazioni specificate durante la creazione dei criteri. Se l'analisi del traffico è già abilitata, i criteri non sovrascrivono le impostazioni. I log dei flussi sono abilitati anche per i gruppi di sicurezza di rete che non lo hanno. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare i gruppi di sicurezza di rete per l'uso di aree di lavoro, account di archiviazione e criteri di conservazione del flusso per l'analisi del traffico | Se l'analisi del traffico è già abilitata, i criteri sovrascriveranno le impostazioni esistenti con quelle fornite durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare le zone DNS private per gli endpoint privati connessi a Configurazione app | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata può essere collegata alla rete virtuale per risolvere le istanze di configurazione dell'app. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare zone DNS private per endpoint privati che si connettono ad Azure Data Factory | DNS privato record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata ad Azure Data Factory senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Azure Data Factory, vedere https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare collegamento privato per Azure AD per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per la risoluzione in Azure AD. Per altre informazioni, vedere https://aka.ms/privateLinkforAzureADDocs. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare gli spazi dei nomi bus di servizio per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere bus di servizio spazi dei nomi. Per altre informazioni, vedere https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare la rete virtuale per abilitare Log di flusso e Analisi del traffico | L'analisi del traffico e i log dei flussi possono essere abilitati per tutte le reti virtuali ospitate in una determinata area con le impostazioni specificate durante la creazione dei criteri. Questo criterio non sovrascrive l'impostazione corrente per le reti virtuali che dispongono già di queste funzionalità abilitate. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.1 |
| Configurare le reti virtuali per applicare l'area di lavoro, l'account di archiviazione e l'intervallo di conservazione per i log di flusso e Analisi del traffico | Se per una rete virtuale è già abilitata l'analisi del traffico, questo criterio sovrascriverà le impostazioni esistenti con quelle specificate durante la creazione dei criteri. Analisi del traffico è una soluzione basata sul cloud che fornisce visibilità delle attività di utenti e applicazioni nelle reti cloud. | DeployIfNotExists, Disabled | 1.1.2 |
| Deploy - Configurare i domini di Griglia di eventi di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Deploy - Configurare gli argomenti Griglia di eventi di Azure per l'uso di zone DNS private | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Per altre informazioni, vedere https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Distribuisci: configurare hub IoT di Azure per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per hub IoT endpoint privati. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Deploy - Configurare IoT Central per l'uso di zone DNS private | DNS privato di Azure fornisce un servizio DNS protetto e affidabile per gestire e risolvere i nomi di dominio in una rete virtuale senza la necessità di aggiungere una soluzione DNS personalizzata. È possibile usare zone DNS private per eseguire l'override della risoluzione DNS usando i propri nomi di dominio personalizzati per un endpoint privato. Questo criterio distribuisce una zona DNS privata per gli endpoint privati di IoT Central. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare le zone DNS private per gli endpoint privati che si connettono a Servizio Azure SignalR | Usare zone DNS private per eseguire l'override della risoluzione DNS per un endpoint privato. Una zona DNS privata collega alla rete virtuale per risolvere Servizio Azure SignalR risorsa. Per altre informazioni, vedere https://aka.ms/asrs/privatelink. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci: configurare le zone DNS private per gli endpoint privati che si connettono agli account Batch | DNS privato record consentono connessioni private agli endpoint privati. Le connessioni endpoint private consentono la comunicazione sicura abilitando la connettività privata agli account Batch senza la necessità di indirizzi IP pubblici nell'origine o nella destinazione. Per altre informazioni sugli endpoint privati e sulle zone DNS in Batch, vedere https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, Disabled | 1.0.0 |
| Distribuisci una risorsa log dei flussi con il gruppo di sicurezza di rete di destinazione | Configura il log dei flussi per un gruppo di sicurezza di rete specifico. Consentirà di registrare le informazioni sul flusso del traffico IP gestito tramite un gruppo di sicurezza di rete. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | deployIfNotExists | 1.1.0 |
| Distribuire una risorsa log di flusso con la rete virtuale di destinazione | Configura il log dei flussi per una rete virtuale specifica. Consentirà di registrare informazioni sul traffico IP che scorre attraverso una rete virtuale. Il log dei flussi consente di identificare il traffico sconosciuto o indesiderato, di verificare l'isolamento rete e la conformità alle regole di accesso aziendali, nonché di analizzare i flussi di rete provenienti da interfacce di rete e indirizzi IP compromessi. | DeployIfNotExists, Disabled | 1.1.1 |
| Distribuire le impostazioni di diagnostica per i gruppi di sicurezza di rete | Questo criterio distribuisce automaticamente le impostazioni diagnostiche nei gruppi di sicurezza di rete. Verrà creato automaticamente un account di archiviazione con il nome '{storagePrefixParameter}{NSGLocation}'. | deployIfNotExists | 2.0.1 |
| Distribuisci Network Watcher quando vengono create reti virtuali | Questo criterio crea una risorsa Network Watcher in aree con reti virtuali. È necessario assicurarsi che sia presente un gruppo di risorse denominato networkWatcherRG, che verrà usato per distribuire le istanze di Network Watcher. | DeployIfNotExists | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway applicazione (microsoft.network/applicationgateways) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i gateway applicazione (microsoft.network/applicationgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per Bastions (microsoft.network/bastionhosts) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per circuiti ExpressRoute (microsoft.network/expressroutecircuits) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per circuiti ExpressRoute (microsoft.network/expressroutecircuits). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per firewall (microsoft.network/azurefirewalls) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Firewall (microsoft.network/azurefirewalls) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.network/frontdoors) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per Frontdoor e profili di rete CDN (microsoft.network/frontdoors) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i profili frontdoor e rete CDN (microsoft.network/frontdoors) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per Frontdoor e profili rete CDN (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i servizi di bilanciamento del carico (microsoft.network/loadbalancers) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i servizi di bilanciamento del carico (microsoft.network/loadbalancers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/dnsresolverpolicies a Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/dnsresolverpolicies. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networkmanagers/ipampools per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/networkmanagers/ipampools. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/networksecurityperimeters per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/networksecurityperimeters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/p2svpngateways a Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.network/vpngateways per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.network/vpngateways. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkanalytics/dataproducts per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.networkanalytics/dataproducts. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/baremetalmachines per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.networkcloud/baremetalmachines. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/clusters per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.networkcloud/clusters. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkcloud/storageappliances a Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.networkcloud/storageappliances. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per microsoft.networkfunction/azuretrafficcollectors per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per microsoft.networkfunction/azuretrafficcollectors. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per manager di rete (microsoft.network/networkmanagers) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Manager di rete (microsoft.network/networkmanagers) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per Manager di rete (microsoft.network/networkmanagers) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i gestori di rete (microsoft.network/networkmanagers). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i gruppi di sicurezza di rete (microsoft.network/networksecuritygroups). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per indirizzi IP pubblici (microsoft.network/publicipaddresses) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per gli indirizzi IP pubblici (microsoft.network/publicipaddresses) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per indirizzi IP pubblici (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per prefissi IP pubblici (microsoft.network/publicipprefixes) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per prefissi IP pubblici (microsoft.network/publicipprefixes). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i profili di Gestione traffico (microsoft.network/trafficmanagerprofiles). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) a Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per i gateway di rete virtuale (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per reti virtuali (microsoft.network/virtualnetworks) per Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account Archiviazione per le reti virtuali (microsoft.network/virtualnetworks). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la regola limite di frequenza per proteggere da attacchi DDoS in Frontdoor di Azure WAF | La regola di limite di frequenza di Web application firewall (WAF) di Azure per Frontdoor di Azure controlla il numero di richieste consentite da un indirizzo IP client specifico all'applicazione durante una durata del limite di frequenza. | Audit, Deny, Disabled | 1.0.0 |
| Firewall Policy Premium deve abilitare tutte le regole di firma IDPS per monitorare tutti i flussi di traffico in ingresso e in uscita | L'abilitazione di tutte le regole di firma del sistema di rilevamento e prevenzione delle intrusioni (IDPS) viene consigliata per identificare meglio le minacce note nei flussi di traffico. Per altre informazioni sulle firme idps (Intrusion Detection and Prevention System) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps-signature | Audit, Deny, Disabled | 1.0.0 |
| Firewall Policy Premium deve abilitare il sistema di rilevamento e prevenzione delle intrusioni (IDPS) | L'abilitazione del sistema di rilevamento e prevenzione delle intrusioni (IDPS) consente di monitorare la rete per individuare attività dannose, registrare informazioni su questa attività, segnalarla e, facoltativamente, tentare di bloccarla. Per altre informazioni sul sistema di rilevamento e prevenzione delle intrusioni (IDPS) con Firewall di Azure Premium, visitarehttps://aka.ms/fw-idps | Audit, Deny, Disabled | 1.0.0 |
| I log dei flussi devono essere configurati per ogni gruppo di sicurezza di rete | Controllare che i gruppi di sicurezza di rete verifichino se i log dei flussi sono configurati. L'abilitazione dei log dei flussi consente di registrare informazioni sul traffico IP che scorre attraverso il gruppo di sicurezza di rete. Può essere usato per l'ottimizzazione dei flussi di rete, il monitoraggio della velocità effettiva, la verifica della conformità, il rilevamento di intrusioni e altro ancora. | Audit, Disabled | 1.1.0 |
| Le subnet del gateway non devono essere configurate con un gruppo di sicurezza di rete | Questo criterio nega l'accesso se una subnet del gateway è configurata con un gruppo di sicurezza di rete. Se si assegna un gruppo di sicurezza di rete a una subnet del gateway, il gateway smetterà di funzionare. | rifiutare | 1.0.0 |
| Eseguire la migrazione di WAF dalla configurazione WAF ai criteri WAF in gateway applicazione | Se si dispone di configurazione WAF invece dei criteri WAF, è consigliabile passare al nuovo criterio WAF. In futuro, i criteri firewall supporteranno le impostazioni dei criteri WAF, i set di regole gestite, le esclusioni e i gruppi di regole disabilitati. | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono essere connesse a una subnet approvata della rete virtuale approvata | Questo criterio impedisce alle interfacce di rete di connettersi a una rete virtuale o a una subnet non approvata. https://aka.ms/VirtualEnclaves | Audit, Deny, Disabled | 1.0.0 |
| Le interfacce di rete devono disabilitare l'inoltro IP | Questo criterio nega l'accesso alle interfacce di rete che hanno abilitato l'inoltro IP. Se si imposta l'inoltro IP, il controllo dell'origine e della destinazione per un'interfaccia di rete eseguito in Azure viene disabilitato. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| Le interfacce di rete non devono avere IP pubblici | Questo criterio nega l'accesso alle interfacce di rete configurate con qualsiasi IP pubblico. Gli indirizzi IP pubblici consentono alle risorse Internet di comunicare in ingresso con le risorse di Azure e alle risorse di Azure di comunicare in uscita con Internet. Questo criterio deve essere verificato dal team di sicurezza della rete. | rifiutare | 1.0.0 |
| I log dei flussi di Network Watcher devono avere l'analisi del traffico abilitata | Analisi del traffico analizza i log dei flussi per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Può essere usato per visualizzare le attività di rete tra le sottoscrizioni di Azure e identificare le aree sensibili, identificare le minacce alla sicurezza, comprendere i modelli di flusso del traffico, individuare errori di configurazione della rete e altro ancora. | Audit, Disabled | 1.0.1 |
| È consigliabile abilitare Network Watcher | Network Watcher è un servizio a livello di area che permette di monitorare e diagnosticare le condizioni al livello di scenario di rete da, verso e all'interno di Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | AuditIfNotExists, Disabled | 3.0.0 |
| Gli indirizzi IP pubblici devono avere i log delle risorse abilitati per Protezione DDoS di Azure | Abilitare i log delle risorse per gli indirizzi IP pubblici nelle impostazioni di diagnostica per lo streaming in un'area di lavoro Log Analytics. Ottenere visibilità dettagliata sul traffico di attacco e sulle azioni intraprese per mitigare gli attacchi DDoS tramite notifiche, report e log dei flussi. | AuditIfNotExists, DeployIfNotExists, Disabled | 1.0.1 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole ACL (elenco di controllo di accesso) che consentono o negano il traffico di rete alla subnet. | AuditIfNotExists, Disabled | 3.0.0 |
| La sottoscrizione deve configurare il Firewall di Azure Premium per fornire ulteriore livello di protezione | Firewall di Azure Premium offre una protezione avanzata dalle minacce che soddisfa le esigenze di ambienti altamente sensibili e regolamentati. Distribuire Firewall di Azure Premium nella sottoscrizione e assicurarsi che tutto il traffico del servizio sia protetto da Firewall di Azure Premium. Per altre informazioni su Firewall di Azure Premium, visitarehttps://aka.ms/fw-premium | AuditIfNotExists, Disabled | 1.0.0 |
| Le macchine virtuali devono essere connesse a una rete virtuale approvata | Questo criterio controlla le macchine virtuali connesse a una rete virtuale non approvata. | Audit, Deny, Disabled | 1.0.0 |
| Le reti virtuali devono essere protette da Protezione DDoS di Azure | Proteggere le reti virtuali da attacchi volumetrici e protocolli con Protezione DDoS di Azure. Per altre informazioni, vedere https://aka.ms/ddosprotectiondocs. | Modifica, Controllo, Disabilitato | 1.0.1 |
| Le reti virtuali devono usare il gateway di rete virtuale specificato | Questo criterio controlla le reti virtuali per verificare che la route predefinita punti al gateway di rete virtuale specificato. | AuditIfNotExists, Disabled | 1.0.0 |
| I gateway VPN devono usare solo l'autenticazione di Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che le Gateway VPN usino solo le identità di Azure Active Directory per l'autenticazione. Altre informazioni sull'autenticazione di Azure AD sono disponibili all'indirizzo https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Azure Web Application Firewall (WAF) davanti ad applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web Application Firewall (WAF) fornisce protezione centralizzata delle applicazioni Web dagli exploit e dalle vulnerabilità più comuni, ad esempio attacchi SQL injection, scripting intersito, esecuzioni file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Audit, Deny, Disabled | 2.0.0 |
| Web Application Firewall (WAF) deve abilitare tutte le regole del firewall per gateway applicazione | L'abilitazione di tutte le regole web application firewall (WAF) rafforza la sicurezza delle applicazioni e protegge le applicazioni Web da vulnerabilità comuni. Per altre informazioni su Web Application Firewall (WAF) con gateway applicazione, visitarehttps://aka.ms/waf-ag | Audit, Deny, Disabled | 1.0.1 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il gateway applicazione | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il gateway applicazione. | Audit, Deny, Disabled | 1.0.0 |
| Web Application Firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure | Impone che la modalità "Rilevamento" o "Prevenzione" sia attiva in tutti i criteri di Web Application Firewall per il servizio Frontdoor di Azure. | Audit, Deny, Disabled | 1.0.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.