Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite correlate alle Microsoft Defender per il cloud. Sono disponibili i seguenti raggruppamenti di definizioni di criteri:
- Il gruppo initiative elenca le definizioni di iniziativa Criteri di Azure nella categoria "Defender per il cloud".
- Il gruppo default elenca tutte le definizioni di Criteri di Azure che fanno parte dell'iniziativa predefinita di Defender per il cloud, Microsoft benchmark della sicurezza cloud. Questo benchmark Microsoft creato e ampiamente rispettato si basa sui controlli del Center per Internet Security (CIS) e International Institute of Standards and Technology (NIST) con particolare attenzione alla sicurezza basata sul cloud.
- Il gruppo category elenca tutte le definizioni di Criteri di Azure nella categoria "Defender per il cloud".
Per altre informazioni sui criteri di sicurezza, vedere Utilizzo dei criteri di sicurezza. Per altri Criteri di Azure predefiniti per altri servizi, vedere Criteri di Azure definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Criteri di Azure GitHub.
iniziative Microsoft Defender per il cloud
Per informazioni sulle iniziative predefinite monitorate da Defender per il cloud, vedere la tabella seguente:
| Name | Description | Policies | Version |
|---|---|---|---|
| [Preview]: Deploy Microsoft Defender per endpoint agent | Distribuire Microsoft Defender per endpoint agente nelle immagini applicabili. | 4 | 1.0.0-preview |
| [Anteprima]: Microsoft cloud security benchmark v2 | L'iniziativa Microsoft cloud security benchmark rappresenta i criteri e i controlli che implementano le raccomandazioni sulla sicurezza definite in Microsoft benchmark della sicurezza cloud, vedere https://aka.ms/azsecbm. Questa operazione funge anche da iniziativa di criteri predefinita Microsoft Defender per il cloud. È possibile assegnare direttamente questa iniziativa o gestire i criteri e i risultati di conformità all'interno di Microsoft Defender per il cloud. | 414 | 1.3.0-preview |
| Configurare Advanced Threat Protection da abilitare nei database relazionali open source | Abilitare Advanced Threat Protection nei database relazionali open source non basic per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Vedere https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configurare Azure Defender da abilitare in SQL Server e istanze gestite di SQL | Abilitare Azure Defender nei server SQL e nelle istanze gestite di SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | 3 | 3.0.0 |
| Configurare i piani di Microsoft Defender per il cloud | Microsoft Defender per il cloud offre protezioni complete native del cloud dallo sviluppo al runtime in ambienti multi-cloud. Usare l'iniziativa dei criteri per configurare Defender per il cloud piani ed estensioni da abilitare negli ambiti selezionati. | 12 | 1.1.0 |
| Configurare Microsoft Defender per database da abilitare | Configurare Microsoft Defender per i database per proteggere i database Azure SQL, le istanze gestite, i database relazionali open source e Cosmos DB. | 4 | 1.0.0 |
| Configurare più impostazioni di integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud | Configurare più impostazioni di integrazione Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION e così via). Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | 3 | 1.0.0 |
| Configurare le macchine virtuali SQL e i server SQL abilitati per Arc per installare l'estensione Microsoft Defender | Microsoft Defender per SQL raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | 3 | 1.0.0 |
| Configurare le macchine virtuali SQL e i server SQL abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro la | Microsoft Defender per SQL raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e una regola di raccolta dati e Log Analytics'area di lavoro nella stessa area del computer. | 9 | 1.3.0 |
| Configurare le macchine virtuali SQL e i server SQL abilitati per Arc per installare Microsoft Defender per SQL e AMA con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dagli agenti e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro Log Analytics definita dall'utente. | 8 | 1.2.0 |
| Microsoft cloud security benchmark | L'iniziativa Microsoft cloud security benchmark rappresenta i criteri e i controlli che implementano le raccomandazioni sulla sicurezza definite in Microsoft benchmark della sicurezza cloud, vedere https://aka.ms/azsecbm. Questa operazione funge anche da iniziativa di criteri predefinita Microsoft Defender per il cloud. È possibile assegnare direttamente questa iniziativa o gestire i criteri e i risultati di conformità all'interno di Microsoft Defender per il cloud. | 223 | 57.56.0 |
iniziativa predefinita di Defender per il cloud (Microsoft benchmark della sicurezza cloud)
Per informazioni sui criteri predefiniti monitorati da Defender per il cloud, vedere la tabella seguente:
| Nome del criterio (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| Centro sicurezza di Azure ha rilevato che alcune subnet non sono protette con un firewall di nuova generazione. Proteggere le subnet da potenziali minacce limitando l'accesso a tali subnet con Firewall di Azure o un firewall di nuova generazione supportato | VerificaSeNonEsiste, Disabilitato | 3.0.0-preview | |
| [Anteprima]: Azure Arc cluster Kubernetes abilitati devono avere Microsoft Defender per il cloud estensione installata | Microsoft Defender per il cloud'estensione per Azure Arc fornisce la protezione dalle minacce per i cluster Kubernetes con abilitazione di Arc. L'estensione raccoglie i dati da tutti i nodi del cluster e li invia al Azure Defender per il back-end Kubernetes nel cloud per un'ulteriore analisi. Altre informazioni sono disponibili in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | VerificaSeNonEsiste, Disabilitato | 6.0.0-preview |
| [Anteprima]: Azure server flessibile PostgreSQL deve avere Microsoft Entra abilitata solo l'autenticazione | La disabilitazione dei metodi di autenticazione locale e la possibilità di Microsoft Entra l'autenticazione migliora la sicurezza assicurando che Azure server flessibile PostgreSQL sia accessibile esclusivamente da identità Microsoft Entra. | Controllo, Disabilitato | 1.0.0-preview |
| [Anteprima]: i server HCI Azure Stack devono applicare in modo coerente i criteri di controllo delle applicazioni | Applicare almeno il criterio di base WDAC Microsoft in modalità applicata a tutti i server HCI Azure Stack. I criteri di controllo delle applicazioni applicati Windows Defender (WDAC) devono essere coerenti tra server nello stesso cluster. | Revisione, Disabilitato, ControllaSeNonEsiste | 1.0.0-preview |
| [Anteprima]: Azure Stack server HCI devono soddisfare i requisiti di base protetti | Assicurarsi che tutti i server HCI Azure Stack soddisfino i requisiti di base protetti. Per abilitare i requisiti del server di memoria centrale protetta: 1. Nella pagina Azure Stack cluster HCI passare a Windows Admin Center e selezionare Connetti. 2. Passare all'estensione Sicurezza e selezionare memoria centrale protetta (Secured-core). 3. Selezionare qualsiasi impostazione non abilitata e fare clic su Abilita. | Revisione, Disabilitato, ControllaSeNonEsiste | 1.0.0-preview |
| [Anteprima]: i sistemi HCI Azure Stack devono avere volumi crittografati | Usare BitLocker per crittografare i volumi di dati e del sistema operativo nei sistemi HCI Azure Stack. | Revisione, Disabilitato, ControllaSeNonEsiste | 1.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 6.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali supportate Windows | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | VerificaSeNonEsiste, Disabilitato | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali supportati Windows | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e Riservato Windows set di scalabilità di macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 3.1.0-preview |
| [Anteprima]: le reti host e vm devono essere protette nei sistemi HCI Azure Stack | Proteggere i dati nella rete host HCI Azure Stack e nelle connessioni di rete delle macchine virtuali. | Revisione, Disabilitato, ControllaSeNonEsiste | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima] È consigliabile installare l'agente di raccolta di dati del traffico di rete nella macchina virtuale Linux | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | VerificaSeNonEsiste, Disabilitato | 1.0.2-preview |
| [Anteprima]: l'agente di raccolta dati del traffico di rete deve essere installato in macchine virtuali Windows | Il Centro sicurezza usa l'agente di dipendenza di Microsoft per raccogliere i dati del traffico di rete dalle macchine virtuali Azure per abilitare funzionalità avanzate di protezione della rete, ad esempio la visualizzazione del traffico sulla mappa di rete, raccomandazioni per la protezione avanzata della rete e minacce di rete specifiche. | VerificaSeNonEsiste, Disabilitato | 1.0.2-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows | Abilitare l'avvio protetto nelle macchine virtuali supportate Windows per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | Controllo, Disabilitato | 4.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Controllo, Disabilitato | 2.0.0-preview |
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server MySQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server MySQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | VerificaSeNonEsiste, Disabilitato | 1.1.1 |
| A amministratore di Microsoft Entra deve essere sottoposto a provisioning per i server PostgreSQL | Controllare il provisioning di un amministratore di Microsoft Entra per il server PostgreSQL per abilitare l'autenticazione Microsoft Entra. Microsoft Entra'autenticazione consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Centro sicurezza di Azure ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È necessario eseguire il provisioning dell'amministratore di Azure Active Directory per i server SQL | Controllare il provisioning di un amministratore di Azure Active Directory per SQL Server per abilitare l'autenticazione di Azure AD. Azure'autenticazione di ACTIVE Directory consente la gestione semplificata delle autorizzazioni e la gestione centralizzata delle identità degli utenti del database e di altri servizi Microsoft | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli endpoint API in Gestione API di Azure devono essere autenticati | Gli endpoint API pubblicati all'interno di Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Gestione API di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Le API Management API devono usare solo protocolli crittografati | Per garantire la sicurezza dei dati in transito, le API devono essere disponibili solo tramite protocolli crittografati, ad esempio HTTPS o WSS. Evitare di usare protocolli non protetti, ad esempio HTTP o WS. | Verifica, Disabilitato, Nega | 2.0.2 |
| API Management le chiamate ai back-end dell'API devono essere autenticate | Le chiamate da Gestione API ai back-end devono usare una forma di autenticazione, sia tramite certificati che credenziali. Non si applica ai back-end del servizio Fabric. | Verifica, Disabilitato, Nega | 1.0.1 |
| Le chiamate di API Management ai back-end API non devono ignorare l'identificazione personale o la convalida dei nomi del certificato | Per migliorare la sicurezza dell'API, Gestione API deve convalidare il certificato del server back-end per tutte le chiamate API. Abilitare l'identificazione personale del certificato SSL e la convalida del nome. | Verifica, Disabilitato, Nega | 1.0.2 |
| API Management endpoint API Management diretto non deve essere abilitato | L'API REST di gestione diretta in Gestione API di Azure ignora Azure Resource Manager meccanismi di controllo degli accessi in base al ruolo, autorizzazione e limitazione, aumentando così la vulnerabilità del servizio. | Verifica, Disabilitato, Nega | 1.0.2 |
| I valori denominati del segreto di gestione API devono essere archiviati in Azure Key Vault | I valori denominati sono una raccolta di coppie nome e valore in ogni servizio Gestione API. I valori dei segreti possono essere archiviati come testo crittografato in Gestione API (segreti personalizzati) o facendo riferimento ai segreti in Azure Key Vault. Per migliorare la sicurezza di Gestione API e segreti, fare riferimento ai valori denominati segreti da Azure Key Vault. Azure Key Vault supporta criteri granulari di gestione degli accessi e rotazione dei segreti. | Verifica, Disabilitato, Nega | 1.0.2 |
| I servizi di gestione API devono usare una rete virtuale | Rete virtuale di Azure distribuzione offre sicurezza avanzata, isolamento e consente di inserire il servizio Gestione API in una rete instradabile non Internet a cui si controlla l'accesso. Queste reti possono quindi essere connesse alle reti locali usando varie tecnologie VPN, che consentono l'accesso ai servizi back-end all'interno della rete e/o in locale. Il portale per sviluppatori e il gateway dell'API possono essere configurati in modo che siano accessibili da Internet o solo all'interno della rete virtuale. | Verifica, Nega, Disabilitato | 1.0.2 |
| API Management deve disabilitare l'accesso alla rete pubblica agli endpoint di configurazione del servizio | Per migliorare la sicurezza dei servizi Gestione API, limitare la connettività agli endpoint di configurazione del servizio, ad esempio l'API di gestione dell'accesso diretto, l'endpoint di gestione della configurazione Git o l'endpoint di configurazione dei gateway self-hosted. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Le sottoscrizioni di API Management non devono essere con ambito per tutte le API | Le sottoscrizioni di Gestione API devono essere incluse nell'ambito di un prodotto o di una singola API anziché di tutte le API, il che potrebbe comportare un'esposizione eccessiva dei dati. | Verifica, Disabilitato, Nega | 1.1.0 |
| Configurazione app deve usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Il mapping degli endpoint privati alle sole istanze di Configurazione app anziché all'intero servizio, garantisce la protezione dai rischi di perdita dei dati. Per altre informazioni, vedere https://aka.ms/appconfig/private-endpoint. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Per le app del servizio app deve essere abilitata l'opzione Certificati client (Certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Per le app del servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| I log delle risorse devono essere abilitati per le app del servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| Le app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Il servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Verifica, Disabilitato, Nega | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le app del servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | VerificaSeNonEsiste, Disabilitato | 2.2.0 |
| Controllare l'utilizzo dei ruoli Controllo degli accessi in base al ruolo (RBAC) personalizzati | Controlla i ruoli predefiniti, ad esempio "Proprietario, Collaboratore, Lettore" invece che i ruoli Controllo degli accessi in base al ruolo personalizzati, che sono soggetti a errori. L'uso di ruoli personalizzati è considerato un'eccezione e richiede una revisione rigorosa e la modellazione delle minacce | Controllo, Disabilitato | 1.0.1 |
| È consigliabile abilitare il controllo in SQL Server | Il controllo sul SQL Server deve essere abilitato per tenere traccia delle attività del database in tutti i database nel server e salvarle in un log di controllo. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| L'autenticazione alle macchine virtuali Linux deve richiedere chiavi SSH | Sebbene SSH stesso fornisca una connessione crittografata, l'uso di password con SSH lascia comunque la macchina virtuale vulnerabile agli attacchi di forza bruta. L'opzione più sicura per l'autenticazione in una macchina virtuale Linux Azure tramite SSH è con una coppia di chiavi pubblica-privata, nota anche come chiavi SSH. Altre informazioni: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed | VerificaSeNonEsiste, Disabilitato | 3.2.0 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Controllo, Disabilitato | 2.0.1 |
| Le variabili dell'account di automazione devono essere crittografate | È importante abilitare la crittografia degli asset della variabile dell'account di Automazione quando si archiviano dati sensibili | Verifica, Nega, Disabilitato | 1.1.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono crittografare i dati inattivi con una chiave gestita dal cliente (CMK) | L'uso di chiavi gestite dal cliente per crittografare i dati inattivi offre un maggiore controllo sul ciclo di vita delle chiavi, inclusa la rotazione e la gestione. Ciò è particolarmente rilevante per le organizzazioni con requisiti di conformità correlati. Ciò non viene valutato per impostazione predefinita e deve essere applicato solo quando richiesto dai requisiti dei criteri restrittivi o di conformità. Se non è abilitato, i dati verranno crittografati usando chiavi gestite dalla piattaforma. Per l'implementazione, aggiornare il parametro "Effect" nei criteri di sicurezza per l'ambito applicabile. | Verifica, Nega, Disabilitato | 2.2.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono avere l'accesso alla chiave disabilitato (disabilitare l'autenticazione locale) | È consigliabile disabilitare l'accesso alla chiave (autenticazione locale) per la sicurezza. Azure OpenAI Studio, in genere usato in fase di sviluppo/test, richiede l'accesso alla chiave e non funzionerà se l'accesso alla chiave è disabilitato. Dopo la disabilitazione, Microsoft Entra ID diventa l'unico metodo di accesso, che consente di mantenere il principio dei privilegi minimi e il controllo granulare. Per altre informazioni, vedere: https://aka.ms/AI/auth | Verifica, Nega, Disabilitato | 1.1.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono limitare l'accesso alla rete | Limitando l'accesso alla rete, è possibile assicurarsi che solo le reti consentite possano accedere al servizio. A questo scopo, è possibile configurare le regole di rete in modo che solo le applicazioni provenienti da reti consentite possano accedere al servizio di intelligenza artificiale Azure. | Verifica, Nega, Disabilitato | 3.3.0 |
| Azure le risorse dei servizi di intelligenza artificiale devono usare collegamento privato di Azure | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato riduce i rischi di perdita di dati gestendo la connettività tra consumer e servizi tramite la rete backbone Azure. È possibile trovare altre informazioni sui collegamenti privati alla pagina: https://aka.ms/AzurePrivateLink/Overview | Controllo, Disabilitato | 1.0.0 |
| Gestione API di Azure versione della piattaforma deve essere stv2 | Gestione API di Azure versione della piattaforma di calcolo stv1 verrà ritirata a partire dal 31 agosto 2024 e queste istanze devono essere migrate alla piattaforma di calcolo stv2 per il supporto continuo. Per altre informazioni: https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Arc i cluster Kubernetes abilitati devono avere l'estensione Criteri di Azure installata | L'estensione Criteri di Azure per Azure Arc offre misure di sicurezza e imposizione su larga scala nei cluster Kubernetes con abilitazione di Arc in modo centralizzato e coerente. Per ulteriori informazioni, vedi https://aka.ms/akspolicydoc. | VerificaSeNonEsiste, Disabilitato | 1.1.0 |
| Backup di Azure deve essere abilitato per Macchine virtuali | Assicurarsi di proteggere i Macchine virtuali di Azure abilitando Backup di Azure. Backup di Azure è una soluzione di protezione dei dati sicura e conveniente per Azure. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| cache di Azure per Redis deve usare il collegamento privato | Gli endpoint privati consentono di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. Eseguendo il mapping degli endpoint privati alle istanze di cache di Azure per Redis, i rischi di perdita dei dati vengono ridotti. Per altre informazioni, vedere https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| gli account Azure Cosmos DB devono avere regole del firewall | Le regole del firewall devono essere definite sugli account Azure Cosmos DB per impedire il traffico da origini non autorizzate. Gli account per cui è definita almeno una regola IP con il filtro della rete virtuale abilitato vengono ritenuti conformi. Anche gli account che disabilitano l'accesso pubblico vengono ritenuti conformi. | Verifica, Nega, Disabilitato | 2.1.0 |
| gli account Azure Cosmos DB devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del Azure Cosmos DB. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/cosmosdb-cmk. | audit, Audit, Deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Cosmos DB deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'account CosmosDB non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione dell'account CosmosDB. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure Databricks I cluster devono disabilitare l'indirizzo IP pubblico | La disabilitazione dell'indirizzo IP pubblico dei cluster nelle aree di lavoro di Azure Databricks migliora la sicurezza assicurando che i cluster non siano esposti sulla rete Internet pubblica. Per altre informazioni, vedere https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Verifica, Nega, Disabilitato | 1.0.1 |
| Azure Databricks Le aree di lavoro devono trovarsi in una rete virtuale | Azure reti virtuali offrono sicurezza e isolamento avanzati per le aree di lavoro Azure Databricks, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Per altre informazioni, vedere https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Verifica, Nega, Disabilitato | 1.0.2 |
| Azure Databricks Le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che la risorsa non sia esposta su Internet pubblico. È possibile controllare l'esposizione delle risorse creando invece endpoint privati. Per altre informazioni, vedere https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Verifica, Nega, Disabilitato | 1.0.1 |
| Le aree di lavoro Azure Databricks devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro Azure Databricks, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/adbpe. | Controllo, Disabilitato | 1.0.2 |
| Azure Protezione DDoS deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | VerificaSeNonEsiste, Disabilitato | 3.0.1 |
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source sono disponibili in https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server Azure SQL non protetti | Controlla server SQL senza Sicurezza dei dati avanzata | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per le istanze gestite di SQL non protette | Controlla ogni Istanza gestita di SQL senza sicurezza dei dati avanzata. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| I domini Griglia di eventi di Azure devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul proprio dominio della Griglia di eventi invece che sull'intero servizio, sarà possibile essere protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Controllo, Disabilitato | 1.0.2 |
| Griglia di eventi di Azure gli argomenti devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Mappando gli endpoint privati sul vostro argomento della Griglia di eventi invece che sull'intero servizio, sarete protetti anche dai rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/privateendpoints. | Controllo, Disabilitato | 1.0.2 |
| Azure Key Vault deve essere abilitato il firewall o l'accesso alla rete pubblica è disabilitato | Abilitare il firewall dell'insieme di credenziali delle chiavi in modo che l'insieme di credenziali delle chiavi non sia accessibile per impostazione predefinita ad alcun INDIRIZZO IP pubblico o disabilitare l'accesso alla rete pubblica per l'insieme di credenziali delle chiavi in modo che non sia accessibile tramite Internet pubblico. Facoltativamente, è possibile configurare intervalli IP specifici per limitare l'accesso a tali reti. Altre informazioni su https://docs.microsoft.com/azure/key-vault/general/network-security e https://aka.ms/akvprivatelink | Verifica, Nega, Disabilitato | 3.3.0 |
| Azure Key Vault deve usare il modello di autorizzazione RBAC | Abilitare il modello di autorizzazione controllo degli accessi in base al ruolo tra Key Vault. Per altre informazioni, vedere: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Verifica, Nega, Disabilitato | 1.0.1 |
| Azure Gli insiemi di credenziali delle chiavi devono usare il collegamento privato | collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'insieme di credenziali delle chiavi, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| I cluster servizio Azure Kubernetes devono avere Defender profilo abilitato | Microsoft Defender per contenitori offre funzionalità di sicurezza Kubernetes native del cloud, tra cui protezione avanzata dell'ambiente, protezione del carico di lavoro e protezione in fase di esecuzione. Quando si abilita SecurityProfile.AzureDefender nel cluster servizio Azure Kubernetes, un agente viene distribuito nel cluster per raccogliere i dati degli eventi di sicurezza. Altre informazioni sulle Microsoft Defender per i contenitori in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controllo, Disabilitato | 2.0.1 |
| Azure Machine Learning le istanze di calcolo devono essere ricreate per ottenere gli aggiornamenti software più recenti | Assicurarsi che Azure Machine Learning istanze di calcolo vengano eseguite nel sistema operativo più recente disponibile. La sicurezza è migliorata e le vulnerabilità sono ridotte eseguendo con le patch di sicurezza più recenti. Per altre informazioni, vedere https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Le risorse di calcolo devono trovarsi in una rete virtuale | Azure reti virtuali offrono sicurezza e isolamento avanzati per i cluster di calcolo e le istanze di Azure Machine Learning, nonché subnet, criteri di controllo di accesso e altre funzionalità per limitare ulteriormente l'accesso. Quando un ambiente di calcolo è configurato con una rete virtuale, non è indirizzabile pubblicamente e può essere accessibile solo da macchine virtuali e applicazioni all'interno della rete virtuale. | Controllo, Disabilitato | 1.0.1 |
| Azure Machine Learning I calcoli devono avere metodi di autenticazione locali disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che Machine Learning le risorse di calcolo richiedano identità Azure Active Directory esclusivamente per l'autenticazione. Per altre informazioni, vedere https://aka.ms/azure-ml-aad-policy. | Verifica, Nega, Disabilitato | 2.1.0 |
| Azure Machine Learning le aree di lavoro devono essere crittografate con una chiave gestita dal cliente | Gestire la crittografia dei dati inattivi dell'area di lavoro Azure Machine Learning con chiavi gestite dal cliente. Per impostazione predefinita, i dati dei clienti sono crittografati tramite chiavi gestite dal servizio, ma in genere sono richieste chiavi gestite dal cliente per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/azureml-workspaces-cmk. | Verifica, Nega, Disabilitato | 1.1.0 |
| Azure Machine Learning Le aree di lavoro devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che le aree di lavoro Machine Learning non siano esposte su Internet pubblico. È possibile controllare l'esposizione delle aree di lavoro creando invece endpoint privati. Per altre informazioni, vedere: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Verifica, Nega, Disabilitato | 2.0.1 |
| Azure Machine Learning le aree di lavoro devono usare il collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle aree di lavoro Azure Machine Learning, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controllo, Disabilitato | 1.0.0 |
| Azure server flessibile MySQL deve avere Microsoft Entra abilitata solo l'autenticazione | La disabilitazione dei metodi di autenticazione locale e la possibilità di Microsoft Entra l'autenticazione migliora la sicurezza assicurando che Azure server flessibile MySQL sia accessibile esclusivamente dalle identità Microsoft Entra. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Criteri di Azure componente aggiuntivo per il servizio Kubernetes deve essere installato e abilitato nei cluster | Criteri di Azure componente aggiuntivo per il servizio Kubernetes estende Gatekeeper v3, un webhook del controller di ammissione per Open Policy Agent (OPA), per applicare le imposizione e le misure di sicurezza su larga scala nei cluster in modo centralizzato e coerente. | Controllo, Disabilitato | 1.0.2 |
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Servizio Azure SignalR deve usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alla risorsa Servizio Azure SignalR anziché all'intero servizio, si ridurranno i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/asrs/privatelink. | Controllo, Disabilitato | 1.0.0 |
| Azure Spring Cloud deve usare l'inserimento di rete | Azure istanze di Spring Cloud devono usare l'inserimento della rete virtuale ai fini seguenti: 1. Isolare Azure Spring Cloud da Internet. 2. Abilitare Azure Spring Cloud per interagire con i sistemi nei data center locali o Azure servizio in altre reti virtuali. 3. Consentire ai clienti di controllare le comunicazioni di rete in ingresso e in uscita per Azure Spring Cloud. | Verifica, Disabilitato, Nega | 1.2.0 |
| database SQL di Azure deve eseguire TLS versione 1.2 o successiva | L'impostazione di TLS sulla versione 1.2 o successiva migliora la sicurezza assicurando che il database SQL di Azure sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. | Verifica, Disabilitato, Nega | 2.0.0 |
| database SQL di Azure deve essere abilitata l'autenticazione solo Microsoft Entra | Richiedere Azure SQL server logici per usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione dei server con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure SQL i server logici devono avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere Azure SQL server logici da creare con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Verifica, Nega, Disabilitato | 1.3.0 |
| Istanza gestita di SQL di Azure deve essere abilitata l'autenticazione solo Microsoft Entra | Richiedere Istanza gestita di SQL di Azure di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione di istanze gestite Azure SQL con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure SQL Istanze gestite deve disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica (endpoint pubblico) in Azure SQL istanze gestite migliora la sicurezza assicurando che sia possibile accedervi solo dall'interno delle reti virtuali o tramite endpoint privati. Per altre informazioni sull'accesso alla rete pubblica, visitare https://aka.ms/mi-public-endpoint. | Verifica, Nega, Disabilitato | 1.0.0 |
| Azure SQL Le istanze gestite devono avere l'autenticazione solo Microsoft Entra abilitata durante la creazione | Richiedere la creazione di Istanza gestita di SQL di Azure con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/adonlycreate. | Verifica, Nega, Disabilitato | 1.2.0 |
| Web application firewall di Azure deve essere abilitato per Frontdoor di Azure punti di ingresso | Distribuire Web application firewall di Azure (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web application firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 1.0.2 |
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli account Blocked con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I certificati devono avere il periodo di validità massimo specificato | Consente di gestire i requisiti di conformità aziendali specificando il tempo di validità massimo di un certificato all'interno dell'insieme di credenziali delle chiavi. | audit, Audit, Deny, Deny, disabled, Disabled | 2.2.1 |
| I registri del contenitore devono essere crittografati con una chiave gestita dal cliente | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi del contenuto dei registri. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. Per ulteriori informazioni, vedi https://aka.ms/acr/CMK. | Verifica, Nega, Disabilitato | 1.1.2 |
| I registri contenitori non devono consentire l'accesso alla rete senza restrizioni | Azure registri contenitori per impostazione predefinita accettano connessioni tramite Internet dagli host in qualsiasi rete. Per proteggere i registri da potenziali minacce, consentire l'accesso solo da specifici endpoint privati, indirizzi IP pubblici o intervalli di indirizzi. Se il Registro di sistema non dispone di regole di rete configurate, verrà visualizzato nelle risorse non integre. Altre informazioni sulle regole di rete del Registro Container sono disponibili qui: https://aka.ms/acr/privatelinkehttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Verifica, Nega, Disabilitato | 2.0.0 |
| I registri contenitori devono usare collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma di collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati ai registri contenitori anziché all'intero servizio, si sarà protetti anche da rischi di perdita di dati. Per altre informazioni, vedere https://aka.ms/acr/private-link. | Controllo, Disabilitato | 1.0.1 |
| Per gli account di database Cosmos DB i metodi di autenticazione locale devono essere disabilitati | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurandosi che gli account di database Cosmos DB richiedano esclusivamente Azure Active Directory identità per l'autenticazione. Per altre informazioni, vedere https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Verifica, Nega, Disabilitato | 1.1.0 |
| Gli account Cosmos DB devono usare collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all'account CosmosDB, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controllo, Disabilitato | 1.0.0 |
| È necessario abilitare i log Diagnostic nelle risorse di Servizi di Azure AI | Abilitare i log per le risorse Servizi di Azure AI. Ciò consente di ricreare la traccia delle attività per scopi di analisi quando si verifica un evento imprevisto della sicurezza o la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database MySQL | Database di Azure per MySQL supporta la connessione del server Database di Azure per MySQL alle applicazioni client tramite Secure Sockets Layer (SSL). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Controllo, Disabilitato | 1.0.1 |
| Il criterio Imponi connessione SSL deve essere abilitato per i server di database PostgreSQL | Database di Azure per PostgreSQL supporta la connessione del server Database di Azure per PostgreSQL alle applicazioni client tramite SSL (Secure Sockets Layer). L'imposizione di connessioni SSL tra il server di database e le applicazioni client garantisce la protezione da attacchi 'man in the middle' tramite la crittografia del flusso di dati tra il server e l'applicazione. Questa configurazione impone che SSL sia sempre abilitato per l'accesso al server di database. | Controllo, Disabilitato | 1.0.1 |
| Per le app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | VerificaSeNonEsiste, Disabilitato | 1.1.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Verifica, Disabilitato, Nega | 5.1.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | VerificaSeNonEsiste, Disabilitato | 2.3.0 |
| È consigliabile abilitare il backup con ridondanza Geo per Database di Azure per MariaDB | Database di Azure per MariaDB consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Controllo, Disabilitato | 1.0.1 |
| Per Database di Azure per MySQL> | Database di Azure per MySQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Controllo, Disabilitato | 1.0.1 |
| Database di Azure per PostgreSQL consente di scegliere l'opzione di ridondanza per il server di database. Può essere impostato sull'archiviazione di backup con ridondanza geografica in cui i dati non solo vengono archiviati all'interno dell'area in cui è ospitato il server, ma vengono anche replicati in un'area associata per fornire un'opzione di ripristino in caso di errore di un'area. La configurazione dell'archiviazione con ridondanza geografica per il backup è consentita solo durante la creazione del server. | Controllo, Disabilitato | 1.0.1 | |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di lettura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di scrittura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio "Windows Exploit Guard deve essere abilitato". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| le chiavi Key Vault devono avere una data di scadenza | Le chiavi di crittografia devono avere una data di scadenza definita e non devono essere permanenti. Le chiavi sempre valide offrono a un potenziale utente malintenzionato più tempo per comprometterle. Impostare le date di scadenza per le chiavi di crittografia è una procedura di sicurezza consigliata. | Verifica, Nega, Disabilitato | 1.0.2 |
| Key Vault i segreti devono avere una data di scadenza | I segreti devono avere una data di scadenza definita e non devono essere permanenti. I segreti validi a tempo indefinito forniscono ai potenziali utenti malintenzionati più tempo per comprometterli. Impostare le date di scadenza per i segreti è una procedura di sicurezza consigliata. | Verifica, Nega, Disabilitato | 1.0.2 |
| È consigliabile che la protezione dall'eliminazione sia abilitata per gli insiemi di credenziali delle chiavi | L'eliminazione dolosa di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. È possibile evitare la perdita permanente dei dati abilitando la protezione dall'eliminazione temporanea e l'eliminazione temporanea. La protezione dalla rimozione definitiva consente di rispondere a questi tipi di attacco imponendo un periodo di conservazione obbligatorio per gli insiemi di credenziali delle chiavi eliminati temporaneamente. Nessuno all'interno dell'organizzazione o Microsoft sarà in grado di eliminare gli insiemi di credenziali delle chiavi durante il periodo di conservazione dell'eliminazione temporanea. Tenere presente che gli insiemi di credenziali delle chiavi creati dopo il 1° settembre 2019 hanno l'eliminazione temporanea abilitata per impostazione predefinita. | Verifica, Nega, Disabilitato | 2.1.0 |
| Negli insiemi di credenziali delle chiavi deve essere abilitata la funzionalità di eliminazione temporanea | L'eliminazione di un insieme di credenziali delle chiavi senza eliminazione temporanea abilitata elimina definitivamente tutti i segreti, le chiavi e i certificati archiviati nell'insieme di credenziali delle chiavi. L'eliminazione accidentale di un insieme di credenziali delle chiavi può causare la perdita permanente di dati. L'eliminazione temporanea consente di ripristinare un insieme di credenziali delle chiavi eliminato accidentalmente per un periodo di conservazione configurabile. | Verifica, Nega, Disabilitato | 3.1.0 |
| Le risorse CPU e memoria dei contenitori nel cluster Kubernetes non devono superare i limiti specificati | Applicare i limiti delle risorse di CPU e memoria dei contenitori per evitare attacchi di esaurimento delle risorse in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes non devono condividere spazi dei nomi host | Impedisce ai contenitori di pod di condividere lo spazio dei nomi ID processo host, lo spazio dei nomi IPC host e lo spazio dei nomi della rete host in un cluster Kubernetes. Questa raccomandazione è allineata agli standard di sicurezza dei pod Kubernetes per gli spazi dei nomi host e fa parte di CIS 5.2.1, 5.2.2 e 5.2.3 che sono destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 6.0.0 |
| I contenitori del cluster Kubernetes devono usare solo i profili AppArmor consentiti | I contenitori devono usare solo i profili AppArmor consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.1 |
| I contenitori del cluster Kubernetes devono usare solo i privilegi consentiti | Limitare le funzionalità per ridurre la superficie di attacco dei contenitori in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.8 e CIS 5.2.9, destinati a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I contenitori del cluster Kubernetes devono usare solo le immagini consentite | Usare immagini di registri attendibili per ridurre il rischio di esposizione del cluster Kubernetes a vulnerabilità sconosciute, problemi di sicurezza e immagini dannose. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.3.0 |
| I contenitori del cluster Kubernetes devono essere eseguiti con un file system radice di sola lettura | Eseguire contenitori con un file system radice di sola lettura per proteggersi dalle modifiche in fase di esecuzione con file binari dannosi aggiunti a PATH in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I volumi hostPath dei pod del cluster Kubernetes devono usare solo i percorsi host consentiti | Limitare i montaggi del volume HostPath dei pod ai percorsi host consentiti in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e Azure Arc Kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.3.0 |
| I pod e i contenitori del cluster Kubernetes devono essere eseguiti solo con ID utente e gruppo approvati | Controllare gli ID degli utenti, dei gruppi primari, dei gruppi supplementari e dei gruppi di file system che i pod e i container possono usare per funzionare in un cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 6.2.0 |
| I pod del cluster Kubernetes devono usare solo la rete host approvata e l'elenco di porte | Limitare l'accesso dei pod alla rete host e alle porte host consentite in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.4, progettato per migliorare la sicurezza degli ambienti Kubernetes e allineato agli standard di sicurezza dei pod (PSS) per hostPorts. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 7.0.0 |
| Il cluster Kubernetes deve rimanere in ascolto solo sulle porte consentite | Limitare i servizi per l'ascolto solo sulle porte consentite per proteggere l'accesso al cluster Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 8.2.0 |
| Il cluster Kubernetes non deve consentire contenitori con privilegi | Non consentire la creazione di contenitori privilegiati in un cluster Kubernetes. Questo consiglio fa parte di CIS 5.2.1, destinato a migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 9.2.0 |
| I cluster Kubernetes devono essere accessibili solo tramite HTTPS | L'uso di HTTPS garantisce l'autenticazione e protegge i dati in transito da attacchi di intercettazione a livello di rete. Questa funzionalità è attualmente disponibile a livello generale per il servizio Kubernetes e in anteprima per Azure Arc Kubernetes abilitato. Per altre info, visitare https://aka.ms/kubepolicydoc | Verifica, Nega, Disabilitato | 9.0.0 |
| Nei cluster Kubernetes il montaggio automatico delle credenziali API deve essere disabilitato | Disabilita il montaggio automatico delle credenziali API per impedire a una risorsa pod potenzialmente compromessa di eseguire i comandi dell'API sui cluster Kubernetes. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I cluster Kubernetes non devono consentire l'escalation dei privilegi dei contenitori | Non consentire l'esecuzione dei contenitori con escalation dei privilegi alla radice in un cluster Kubernetes. Questa raccomandazione fa parte di CIS 5.2.5, progettato per migliorare la sicurezza degli ambienti Kubernetes. Questo criterio è disponibile a livello generale per il servizio Kubernetes e l'anteprima per Azure Arc kubernetes abilitato. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | Verifica, Nega, Disabilitato | 8.0.0 |
| I cluster Kubernetes non devono concedere le funzionalità di sicurezza CAP_SYS_ADMIN | Per ridurre la superficie di attacco dei contenitori, limitare le funzionalità di CAP_SYS_ADMIN Linux. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 5.1.0 |
| I cluster Kubernetes non devono usare lo spazio dei nomi predefinito | Impedisce l'utilizzo dello spazio dei nomi predefinito nei cluster Kubernetes per proteggere dagli accessi non autorizzati per i tipi di risorse Mapping di configurazione Pod, Segreto, Servizio e Account del servizio. Per ulteriori informazioni, vedere https://aka.ms/kubepolicydoc. | audit, Audit, Deny, Deny, disabled, Disabled | 4.2.0 |
| I computer Linux devono soddisfare i requisiti per la baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | VerificaSeNonEsiste, Disabilitato | 2.3.1 |
| Le macchine virtualiLinux devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.2.1 |
| I computer devono essere configurati per verificare periodicamente la presenza di aggiornamenti del sistema mancanti | Per garantire che le valutazioni periodiche per gli aggiornamenti di sistema mancanti vengano attivate automaticamente ogni 24 ore, la proprietà AssessmentMode deve essere impostata su "AutomaticByPlatform". Altre informazioni sulla proprietà AssessmentMode per Windows: https://aka.ms/computevm-windowspatchassessmentmode, per Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Verifica, Nega, Disabilitato | 3.9.0 |
| È necessario che i risultati per i segreti delle macchine virtuali siano risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | L'accesso JIT (Just-In-Time) di rete possibile verrà monitorato da Centro sicurezza di Azure come raccomandazioni | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I server MySQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server MySQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | VerificaSeNonEsiste, Disabilitato | 1.0.4 |
| è necessario abilitare Network Watcher | Network Watcher è un servizio a livello di area che consente di monitorare e diagnosticare le condizioni a livello di scenario di rete in, a e da Azure. Il monitoraggio a livello di scenario permette di diagnosticare i problemi in una visualizzazione completa a livello di rete. È necessario creare un gruppo di risorse network watcher in ogni area in cui è presente una rete virtuale. Un avviso è abilitato se un gruppo di risorse network watcher non è disponibile in una determinata area. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Le connessioni sicure al cache di Azure per Redis devono essere abilitate | Controllare l'abilitazione solo delle connessioni tramite SSL per cache di Azure per Redis. L'uso di connessioni sicure garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Verifica, Nega, Disabilitato | 1.0.0 |
| I server PostgreSQL devono usare chiavi gestite dal cliente per crittografare i dati inattivi | Usare le chiavi gestite dal cliente per gestire la crittografia dei dati inattivi dei server PostgreSQL. Per impostazione predefinita, i dati sono crittografati quando inattivi con chiavi gestite dal servizio, ma le chiavi gestite dal cliente sono comunemente richieste per soddisfare gli standard di conformità alle normative. Le chiavi gestite dal cliente consentono di crittografare i dati con una chiave Azure Key Vault creata e di proprietà dell'utente. L'utente dispone del controllo completo e della piena responsabilità in merito al ciclo di vita della chiave, incluse le operazioni di rotazione e gestione. | VerificaSeNonEsiste, Disabilitato | 1.0.4 |
| È necessario abilitare le connessioni endpoint Private in database SQL di Azure | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle database SQL di Azure. | Controllo, Disabilitato | 1.1.0 |
| L'endpoint privato deve essere abilitato per i server MariaDB | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata per Database di Azure per MariaDB. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server MySQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata a Database di Azure per MySQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| L'endpoint privato deve essere abilitato per i server PostgreSQL | Le connessioni endpoint private applicano la comunicazione sicura abilitando la connettività privata alle Database di Azure per PostgreSQL. Configurare una connessione endpoint privato per consentire l'accesso al traffico proveniente solo da reti note e impedire l'accesso da tutti gli altri indirizzi IP, inclusi i Azure. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| A access di rete pubblica in database SQL di Azure deve essere disabilitato | La disabilitazione della proprietà di accesso alla rete pubblica migliora la sicurezza assicurando che l'database SQL di Azure sia accessibile solo da un endpoint privato. Questa configurazione nega tutti gli accessi che corrispondono alle regole del firewall basate su indirizzo IP o rete virtuale. | Verifica, Nega, Disabilitato | 1.1.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MariaDB | Disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MariaDB sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Verifica, Nega, Disabilitato | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server MySQL | Disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che l'Database di Azure per MySQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita rigorosamente l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Verifica, Nega, Disabilitato | 2.0.0 |
| L'accesso alla rete pubblica deve essere disabilitato per i server PostgreSQL | Disabilitare la proprietà di accesso alla rete pubblica per migliorare la sicurezza e assicurarsi che il Database di Azure per PostgreSQL sia accessibile solo da un endpoint privato. Questa configurazione disabilita l'accesso da qualsiasi spazio di indirizzi pubblico all'esterno dell'intervallo IP di Azure e nega tutti gli account di accesso che corrispondono alle regole del firewall basate su ip o rete virtuale. | Verifica, Nega, Disabilitato | 2.0.1 |
| I log di Risorsa in Azure Data Lake Store devono essere abilitati | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| È necessario abilitare i log di Resource nelle aree di lavoro Azure Databricks | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| È necessario abilitare i log di Resource in servizio Azure Kubernetes | i log delle risorse di servizio Azure Kubernetes consentono di ricreare i percorsi attività durante l'analisi degli eventi imprevisti di sicurezza. Abilitarlo per assicurarsi che i log esistano quando necessario | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| È necessario abilitare i log di Resource nelle aree di lavoro Azure Machine Learning | I registri delle risorse consentono di ricreare i tracciati delle attività da utilizzare per le indagini quando si verifica un incidente di sicurezza o quando la rete è compromessa. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| È necessario abilitare i log Resource in Analisi di flusso di Azure | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| I log delle risorse devono essere abilitati negli account Batch | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| È necessario abilitare i log di Resource in Data Lake Analytics | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| I log delle risorse devono essere abilitati nell'hub eventi | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| È necessario abilitare i log di Resource in hub IoT | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 3.1.0 |
| È necessario abilitare i log di Resource in Key Vault | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| I log delle risorse devono essere abilitati in App per la logica | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.1.0 |
| I log delle risorse devono essere abilitati nei servizi di ricerca | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| È necessario abilitare i log di < bus di servizio>Resource | Controllare l'abilitazione dei log delle risorse. consentendo di ricreare la traccia delle attività da usare a fini di controllo se si verifica un problema di sicurezza o se la rete viene compromessa | VerificaSeNonEsiste, Disabilitato | 5.0.0 |
| Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare Role-Based Controllo di accesso (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Controllo, Disabilitato | 1.1.0 |
| È consigliabile abilitare il trasferimento sicuro agli account di archiviazione | Requisito di controllo del trasferimento sicuro nell'account di archiviazione. Il trasferimento sicuro è un'opzione che impone all'account di archiviazione di accettare richieste solo da connessioni protette (HTTPS). L'uso di HTTPS garantisce l'autenticazione tra il server e il servizio e protegge i dati in transito dagli attacchi a livello rete, come attacchi man-in-the-middle, eavesdropping e hijack della sessione | Verifica, Nega, Disabilitato | 2.0.0 |
| Servizio Fabric i cluster devono avere la proprietà ClusterProtectionLevel impostata su EncryptAndSign | Il servizio Fabric offre tre livelli di protezione (Nessuno, Firma e EncryptAndSign) per la comunicazione da nodo a nodo usando un certificato del cluster primario. Impostare il livello di protezione per garantire che tutti i messaggi da nodo a nodo vengano crittografati e firmati digitalmente | Verifica, Nega, Disabilitato | 1.1.0 |
| I cluster Fabric Service devono usare solo Azure Active Directory per l'autenticazione client | Controllare l'utilizzo dell'autenticazione client solo tramite Azure Active Directory nel servizio Fabric | Verifica, Nega, Disabilitato | 1.1.0 |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | VerificaSeNonEsiste, Disabilitato | 4.1.0 |
| Le istanze gestite di SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Verifica, Nega, Disabilitato | 2.0.0 |
| Il provisioning automatico di destinazione di SQL Server deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: https://aka.ms/SQLAMAMigration | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I server SQL devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi | L'implementazione di Transparent Data Encryption (TDE) con la propria chiave offre maggiore trasparenza e controllo sulla protezione TDE, maggiore sicurezza con un servizio esterno supportato da HSM e promozione della separazione dei compiti. Questa raccomandazione si applica alle organizzazioni con un requisito di conformità correlato. | Verifica, Nega, Disabilitato | 2.0.1 |
| I server SQL con il controllo nella destinazione dell'account di archiviazione devono essere configurati con un periodo di conservazione di 90 giorni o superiore | Ai fini dell'indagine sugli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo del SQL Server sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'accesso pubblico agli account di archiviazione non deve essere consentito | L'accesso in lettura pubblico anonimo ai contenitori e ai BLOB in Archiviazione di Azure è un modo pratico per condividere i dati, ma potrebbe presentare rischi per la sicurezza. Per evitare violazioni dei dati causate dall'accesso anonimo indesiderato, Microsoft consiglia di impedire l'accesso pubblico a un account di archiviazione, a meno che lo scenario non lo richieda. | audit, Audit, Deny, Deny, disabled, Disabled | 3.1.1 |
| è necessario eseguire la migrazione degli account Archiviazione alle nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per gli account di archiviazione per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono impedire l'accesso alla chiave condivisa | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Verifica, Nega, Disabilitato | 2.0.0 |
| Gli account di archiviazione devono impedire l'accesso con chiave condivisa (esclusi gli account di archiviazione creati da Databricks) | Requisito di controllo di Azure Active Directory (Azure AD) per autorizzare le richieste per l'account di archiviazione. Per impostazione predefinita, le richieste possono essere autorizzate con credenziali Azure Active Directory oppure usando la chiave di accesso dell'account per l'autorizzazione con chiave condivisa. Di questi due tipi di autorizzazione, Azure AD offre maggiore sicurezza e facilità d'uso tramite chiave condivisa ed è consigliato da Microsoft. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono limitare l'accesso alla rete | L'accesso di rete agli account di archiviazione deve essere limitato. Configurare regole di rete in modo che l'account di archiviazione sia accessibile solo alle applicazioni provenienti da reti consentite. Per consentire connessioni da client Internet o locali specifici, è possibile concedere l'accesso al traffico da reti virtuali Azure specifiche o a intervalli di indirizzi IP Internet pubblici | Verifica, Nega, Disabilitato | 1.1.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.1 |
| Gli account di archiviazione devono limitare l'accesso alla rete usando regole di rete virtuale (esclusi gli account di archiviazione creati da Databricks) | Protegge gli account di archiviazione da potenziali minacce usando le regole di rete virtuale come metodo preferito anziché il filtro basato su IP. La disabilitazione del filtro basato su IP, impedisce agli indirizzi IP pubblici di accedere agli account di archiviazione. | Verifica, Nega, Disabilitato | 1.0.0 |
| Gli account di archiviazione devono usare la chiave gestita dal cliente per la crittografia | Proteggere l'account e file di archiviazione BLOB con maggiore flessibilità usando le chiavi gestite dal cliente. Quando si specifica una chiave gestita dal cliente, tale chiave viene usata per proteggere e controllare l'accesso alla chiave che crittografa i dati. L'utilizzo di chiavi gestite dal cliente offre ulteriori possibilità di controllare la rotazione della chiave di crittografia o di cancellare crittograficamente i dati. | Controllo, Disabilitato | 1.0.3 |
| Gli account di archiviazione devono usare collegamenti privati | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Gli account di archiviazione devono usare un collegamento privato (esclusi gli account di archiviazione creati da Databricks) | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati all’account di archiviazione, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/azureprivatelinkoverview | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole elenco di Controllo di accesso che consentono o negano il traffico di rete verso la subnet. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Le aree di lavoro Synapse devono avere l'autenticazione solo Microsoft Entra abilitata | Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/Synapse. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le aree di lavoro Synapse devono usare solo identità Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro | Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Microsoft Entra. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Prendere in considerazione l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambi. Per altre informazioni, vedere https://aka.ms/Synapse. | Verifica, Nega, Disabilitato | 1.2.0 |
| È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| è necessario abilitare Transparent Data Encryption nei database SQL | Abilitare Transparent Data Encryption per proteggere i dati inattivi e rispettare i requisiti relativi alla conformità | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Per le macchine virtuali e i set di scalabilità di macchine virtuali deve essere abilitata la crittografia a livello di host | Usare la crittografia nell'host per ottenere la crittografia end-to-end per la macchina virtuale e i dati del set di scalabilità di macchine virtuali. La crittografia nell'host abilita la crittografia dei dati inattivi per le cache del disco temporaneo e del sistema operativo/disco dati. Quando è abilitata la crittografia nell'host, i dischi temporanei e del sistema operativo temporaneo vengono crittografati con chiavi gestite dalla piattaforma. Le cache del disco del sistema operativo/dati vengono crittografate inattive con chiave gestita dal cliente o gestita dalla piattaforma, a seconda del tipo di crittografia selezionato sul disco. Per ulteriori informazioni, vedi https://aka.ms/vm-hbe. | Verifica, Nega, Disabilitato | 1.0.0 |
| Le macchine virtuali devono essere migrate a nuove risorse di Azure Resource Manager | Usare le nuove Azure Resource Manager per le macchine virtuali per offrire miglioramenti alla sicurezza, ad esempio: controllo degli accessi (RBAC), controllo migliore, distribuzione e governance basata su Azure Resource Manager, accesso alle identità gestite, accesso all'insieme di credenziali delle chiavi per i segreti, Azure Autenticazione basata su ACTIVE Directory e supporto per tag e gruppi di risorse per semplificare la gestione della sicurezza | Verifica, Nega, Disabilitato | 1.0.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure macchine virtuali nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| I modelli di Image Builder per macchine virtuali devono usare un collegamento privato | collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati alla compilazione di risorse di Image Builder della macchina virtuale, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Verifica, Disabilitato, Nega | 1.1.0 |
| I gateway VPN devono usare solo l'autenticazione Azure Active Directory (Azure AD) per gli utenti da punto a sito | La disabilitazione dei metodi di autenticazione locale migliora la sicurezza assicurando che i gateway VPN usino solo identità Azure Active Directory per l'autenticazione. Per altre informazioni sull'autenticazione di Azure AD, vedere https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Verifica, Nega, Disabilitato | 1.0.0 |
| Valutazione dellavulnerability deve essere abilitata in Istanza gestita di SQL | Controlla ogni Istanza gestita di SQL che non dispone di analisi ricorrenti della valutazione delle vulnerabilità abilitate. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| È consigliabile abilitare la valutazione della vulnerabilità nei server SQL | Controllare Azure SQL server che non dispongono di una valutazione della vulnerabilità configurata correttamente. La valutazione della vulnerabilità consente di individuare, monitorare e risolvere le potenziali vulnerabilità del database. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Web application firewall (WAF) deve essere abilitato per il gateway applicazione | Distribuire Web application firewall di Azure (WAF) davanti alle applicazioni Web pubbliche per un'ulteriore ispezione del traffico in ingresso. Web application firewall (WAF) offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni, ad esempio attacchi SQL injection, scripting tra siti, esecuzioni di file locali e remote. È inoltre possibile limitare l'accesso alle applicazioni Web in base a paesi, intervalli di indirizzi IP e altri parametri HTTP/HTTPS, tramite le regole personalizzate. | Verifica, Nega, Disabilitato | 2.0.0 |
| Windows Defender Exploit Guard deve essere abilitato nei computer | Windows Defender Exploit Guard usa l'agente di configurazione guest Criteri di Azure. Exploit Guard include quattro componenti progettati per bloccare i dispositivi contro un'ampia gamma di vettori di attacco e comportamenti di blocco comunemente usati negli attacchi malware, consentendo alle aziende di bilanciare i requisiti di sicurezza e produttività (solo Windows). | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| Windows i computer devono essere configurati per l'uso di protocolli di comunicazione sicuri | Per proteggere la privacy delle informazioni comunicate tramite Internet, i computer devono usare la versione più recente del protocollo di crittografia standard del settore, Transport Layer Security (TLS). TLS protegge le comunicazioni tramite una rete crittografando una connessione tra computer. | VerificaSeNonEsiste, Disabilitato | 4.1.1 |
| Windows i computer devono soddisfare i requisiti della baseline di sicurezza di calcolo Azure | Richiede che i prerequisiti vengano distribuiti nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. I computer non sono conformi se il computer non è configurato correttamente per una delle raccomandazioni nella baseline di sicurezza di calcolo Azure. | VerificaSeNonEsiste, Disabilitato | 2.1.1 |
| Windows le macchine virtuali devono abilitare Crittografia dischi di Azure o EncryptionAtHost. | Anche se il sistema operativo e i dischi dati di una macchina virtuale sono crittografati inattivi per impostazione predefinita tramite chiavi gestite dalla piattaforma; i dischi delle risorse (dischi temporanei), le cache dei dati e il flusso di dati tra risorse di calcolo e archiviazione non vengono crittografati. Usare Crittografia dischi di Azure o EncryptionAtHost per correggere. Visitare https://aka.ms/diskencryptioncomparison per confrontare le offerte di crittografia. Questo criterio richiede due prerequisiti da distribuire nell'ambito dell'assegnazione dei criteri. Per informazioni dettagliate, vedere https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.1.1 |
categoria Microsoft Defender per il cloud
| Name (portale di Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nel computer Linux Arc | Installare l'estensione ChangeTracking nei computer Linux Arc per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: È consigliabile installare l’estensione ChangeTracking nelle macchine virtuali Linux | Installare l'estensione ChangeTracking nelle macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nel computer Windows Arc | Installare l'estensione ChangeTracking nei computer Windows Arc per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: l'estensione ChangeTracking deve essere installata nella macchina virtuale Windows | Installare l'estensione ChangeTracking nelle macchine virtuali Windows per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.0-preview |
| [Anteprima]: Configurare Azure Defender per SQL Agent nella macchina virtuale | Configurare Windows computer per installare automaticamente il Azure Defender per SQL Agent in cui è installato Monitoraggio di Azure Agent. Il Centro sicurezza raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Crea un gruppo di risorse e Log Analytics'area di lavoro nella stessa area del computer. Le macchine virtuali di destinazione devono trovarsi in una posizione supportata. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| [Anteprima]: Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest | Configurare i set di scalabilità di macchine virtuali Linux supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 6.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali Linux supportate per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DistribuisciSeNonEsiste, Disattivato | 5.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest | Configurare le macchine virtuali Linux supportate per installare automaticamente l'estensione Attestazione guest per consentire alle Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 7.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate per abilitare automaticamente vTPM | Configurare le macchine virtuali supportate per abilitare automaticamente vTPM per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. | DistribuisciSeNonEsiste, Disattivato | 2.0.0-preview |
| [Anteprima]: Configurare Windows i set di scalabilità di macchine virtuali supportati per installare automaticamente l'estensione Attestazione guest | Configurare Windows set di scalabilità di macchine virtuali supportati per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 4.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali Windows supportate per abilitare automaticamente l'avvio protetto | Configurare le macchine virtuali supportate Windows per abilitare automaticamente l'avvio protetto per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. | DistribuisciSeNonEsiste, Disattivato | 3.0.0-preview |
| [Anteprima]: Configurare le macchine virtuali supportate Windows per installare automaticamente l'estensione attestazione guest | Configurare le macchine virtuali supportate Windows per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 5.1.0-preview |
| [Anteprima]: Configurare le macchine virtuali create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare le macchine virtuali create con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 2.0.0-preview |
| [Anteprima]: Configurare vmSS create con immagini Raccolta immagini condivise per installare l'estensione Attestazione guest | Configurare il set di scalabilità di macchine virtuali creato con Raccolta immagini condivise immagini per installare automaticamente l'estensione Attestazione guest per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. L'integrità dell'avvio viene attestata tramite attestazione remota. | DistribuisciSeNonEsiste, Disattivato | 2.1.0-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint in computer ibridi Linux | Distribuisce Microsoft Defender per endpoint agente in computer ibridi Linux | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.1-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint in macchine virtuali Linux | Distribuisce Microsoft Defender per endpoint agente nelle immagini di macchine virtuali Linux applicabili. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 3.0.0-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint nei computer Windows Azure Arc | Distribuisce Microsoft Defender per endpoint nei computer Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.1-preview |
| [Anteprima]: Distribuire l'agente Microsoft Defender per endpoint in macchine virtuali Windows | Distribuisce Microsoft Defender per endpoint nelle immagini di macchine virtuali Windows applicabili. | DeployIfNotExists, AuditIfNotExists, Disabilitato | 2.0.1-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata nelle macchine virtuali Linux supportate | Installare l'estensione Attestazione guest nelle macchine virtuali Linux supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 6.0.0-preview |
| [Anteprima]: L'estensione di attestazione guest deve essere installata su set di scalabilità di macchine virtuali Linux supportate | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali Linux supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica ai set di scalabilità di macchine virtuali Linux riservate e di avvio attendibile. | VerificaSeNonEsiste, Disabilitato | 5.1.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nelle macchine virtuali supportate Windows | Installare l'estensione Attestazione guest nelle macchine virtuali supportate per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | VerificaSeNonEsiste, Disabilitato | 4.0.0-preview |
| [Anteprima]: L'estensione attestazione guest deve essere installata nei set di scalabilità di macchine virtuali supportati Windows | Installare l'estensione attestazione guest nei set di scalabilità di macchine virtuali supportati per consentire Centro sicurezza di Azure di attestare e monitorare in modo proattivo l'integrità dell'avvio. Dopo l'installazione, l'integrità di avvio verrà attestata tramite attestazione remota. Questa valutazione si applica a Avvio attendibile e Riservato Windows set di scalabilità di macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 3.1.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare solo componenti di avvio firmati e attendibili | Tutti i componenti di avvio del sistema operativo (caricatore di avvio, kernel, driver kernel) devono essere firmati da autori attendibili. Defender per il cloud ha identificato componenti di avvio del sistema operativo non attendibili in uno o più computer Linux. Per proteggere i computer da componenti potenzialmente dannosi, aggiungerli all'elenco di elementi consentiti o rimuovere i componenti identificati. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: Le macchine virtuali Linux devono usare l'avvio protetto | Per proteggersi dall'installazione di rootkit e kit di avvio basati su malware, abilitare l'avvio protetto nelle macchine virtuali Linux supportate. L'avvio protetto garantisce che solo i sistemi operativi e i driver firmati possano essere eseguiti. Questa valutazione si applica solo alle macchine virtuali Linux in cui è installato Monitoraggio di Azure Agent. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [anteprima]: Le porte che potrebbero esporre i computer a vettori di attacco devono essere chiuse | le condizioni per l'utilizzo di Azure vietano l'uso di servizi Azure in modi che potrebbero danneggiare, disabilitare, sovraccaricare o compromettere qualsiasi server Microsoft o la rete. Le porte esposte identificate da questa raccomandazione devono essere chiuse per la sicurezza continua. Per ogni porta identificata, la raccomandazione fornisce anche una spiegazione della potenziale minaccia. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: l'avvio protetto deve essere abilitato nelle macchine virtuali supportate Windows | Abilitare l'avvio protetto nelle macchine virtuali supportate Windows per attenuare le modifiche dannose e non autorizzate alla catena di avvio. Dopo l'abilitazione, solo i bootloader attendibili, i kernel e i driver kernel saranno autorizzati a essere eseguiti. Questa valutazione si applica alle macchine virtuali Di avvio attendibile e Riservato Windows. | Controllo, Disabilitato | 4.0.0-preview |
| [Anteprima]: lo stato dell'attestazione guest delle macchine virtuali deve essere integro | L'attestazione guest viene eseguita inviando un log attendibile (TCGLog) a un server di attestazione. Il server usa questi log per determinare se i componenti di avvio sono attendibili. Questa valutazione è destinata a rilevare compromissioni della catena di avvio che potrebbe essere il risultato di un bootkit o di un'infezione da rootkit. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile in cui è installata l'estensione Attestazione guest. | VerificaSeNonEsiste, Disabilitato | 1.0.0-preview |
| [Anteprima]: vTPM deve essere abilitato nelle macchine virtuali supportate | Abilitare il dispositivo TPM virtuale nelle macchine virtuali supportate per facilitare l'avvio misurato e altre funzionalità di sicurezza del sistema operativo che richiedono un TPM. Dopo l'abilitazione, vTPM può essere usato per attestare l'integrità dell'avvio. Questa valutazione si applica solo alle macchine virtuali abilitate per l'avvio attendibile. | Controllo, Disabilitato | 2.0.0-preview |
| Per la sottoscrizione devono essere designati al massimo 3 proprietari | È consigliabile designare fino a 3 proprietari della sottoscrizione in modo da ridurre la probabilità di violazione da parte di un proprietario compromesso. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile abilitare una soluzione di valutazione della vulnerabilità nelle macchine virtuali | Controlla le macchine virtuali per rilevare se eseguono una soluzione di valutazione della vulnerabilità supportata. Un componente principale di ogni programma per la sicurezza e il rischio informatico è costituito dall'identificazione e dall'analisi delle vulnerabilità. il piano tariffario standard di Centro sicurezza di Azure include l'analisi delle vulnerabilità per le macchine virtuali senza costi aggiuntivi. Inoltre, il Centro sicurezza è in grado di distribuire automaticamente questo strumento. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile limitare tutte le porte di rete nei gruppi di sicurezza di rete associati alla macchina virtuale | Centro sicurezza di Azure ha identificato alcune delle regole in ingresso dei gruppi di sicurezza di rete troppo permissive. Le regole in ingresso non devono consentire l'accesso da 'Tutti' gli intervalli o dagli intervalli 'Internet'. Ciò può consentire potenzialmente agli utenti malintenzionati di attaccare le risorse. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Gli endpoint API in Gestione API di Azure devono essere autenticati | Gli endpoint API pubblicati all'interno di Gestione API di Azure devono applicare l'autenticazione per ridurre al minimo i rischi di sicurezza. I meccanismi di autenticazione vengono talvolta implementati in modo non corretto o mancanti. Ciò consente agli utenti malintenzionati di sfruttare i difetti di implementazione e di accedere ai dati. Altre informazioni sulla minaccia dell'API OWASP per l'autenticazione utente interrotta sono disponibili qui: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| gli endpoint API inutilizzati devono essere disabilitati e rimossi dal servizio Gestione API di Azure | Come procedura consigliata per la sicurezza, gli endpoint API che non hanno ricevuto traffico per 30 giorni vengono considerati inutilizzati e devono essere rimossi dal servizio Gestione API di Azure. Mantenere gli endpoint API inutilizzati può rappresentare un rischio per la sicurezza per l'organizzazione. Queste possono essere API che dovrebbero essere deprecate dal servizio Gestione API di Azure, ma potrebbero essere state accidentalmente lasciate attive. Tali API in genere non ricevono la copertura di sicurezza più aggiornata. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Assegnare l'identità assegnata dal sistema a SQL Macchine virtuali | Assegnare l'identità assegnata dal sistema su larga scala a Windows macchine virtuali SQL. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Gli intervalli IP autorizzati devono essere definiti nei servizi Kubernetes | Limita l'accesso all'API Gestione dei servizi Kubernetes concedendo l'accesso all'API solo agli indirizzi IP in intervalli specifici. È consigliabile limitare l'accesso agli intervalli IP autorizzati per garantire che solo le applicazioni provenienti da reti autorizzate possano accedere al cluster. | Controllo, Disabilitato | 2.0.1 |
| Azure Protezione DDoS deve essere abilitata | È necessario abilitare la protezione DDoS Standard per tutte le reti virtuali con una subnet che fa parte di un gateway applicazione con un indirizzo IP pubblico. | VerificaSeNonEsiste, Disabilitato | 3.0.1 |
| Azure Defender per il servizio app deve essere abilitato | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server database SQL di Azure | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| è necessario abilitare Azure Defender per Key Vault | Azure Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source sono disponibili in https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Azure Defender per i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Azure Defender per i server SQL nei computer | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Azure Defender per SQL deve essere abilitato per i server flessibili MySQL non protetti | Controllare i server flessibili MySQL senza Sicurezza dei dati avanzata | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure Defender per SQL deve essere abilitato per i server flessibili PostgreSQL non protetti | Controllare i server flessibili PostgreSQL senza Sicurezza dei dati avanzata | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Azure le immagini del contenitore del Registro di sistema devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. La risoluzione delle vulnerabilità può migliorare notevolmente il comportamento di sicurezza, assicurandosi che le immagini siano sicure da usare prima della distribuzione. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Azure le immagini del contenitore in esecuzione devono avere vulnerabilità risolte (basate su Gestione delle vulnerabilità di Microsoft Defender) | La valutazione della vulnerabilità dell'immagine del contenitore analizza il registro per individuare vulnerabilità comunemente note (CVE) e fornisce un report dettagliato sulle vulnerabilità per ogni immagine. Questa raccomandazione offre visibilità sulle immagini vulnerabili attualmente in esecuzione nei cluster Kubernetes. La correzione delle vulnerabilità nelle immagini del contenitore attualmente in esecuzione è fondamentale per migliorare il comportamento di sicurezza, riducendo significativamente la superficie di attacco per i carichi di lavoro in contenitori. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Gli account Blocked con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | Gli account deprecati con autorizzazioni di proprietario devono essere rimossi dalla sottoscrizione. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Gli account Blocked con autorizzazioni di lettura e scrittura per le risorse di Azure devono essere rimossi | È necessario rimuovere dalle sottoscrizioni gli account deprecati. Gli account deprecati sono account a cui è stato bloccato l'accesso. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| L'estensione ChangeTracking deve essere installata nei set di scalabilità di macchine virtuali Linux | Installare l'estensione ChangeTracking nei set di scalabilità di macchine virtuali Linux per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| ChangeTracking estensione deve essere installata nei set di scalabilità di macchine virtuali Windows | Installare l'estensione ChangeTracking in Windows set di scalabilità di macchine virtuali per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Azure Monitoring Agent. | VerificaSeNonEsiste, Disabilitato | 2.0.1 |
| Le istanze di ruolo Servizi cloud (supporto esteso) devono essere configurate in modo sicuro | Proteggere le istanze di ruolo Servizio cloud (supporto esteso) da attacchi, verificando che non siano esposte a vulnerabilità del sistema operativo. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Per le istanze di ruolo Servizi cloud (supporto esteso) devono essere installati gli aggiornamenti di sistema | Proteggere le istanze di ruolo Servizi cloud (supporto esteso) assicurandosi che in queste istanze siano installati gli aggiornamenti critici e di sicurezza più recenti. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Configurare Advanced Threat Protection da abilitare nei server flessibili Azure database per MySQL | Abilitare Advanced Threat Protection nel database Azure per i server flessibili MySQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Advanced Threat Protection da abilitare nei server flessibili Azure database per PostgreSQL | Abilitare Advanced Threat Protection nel database Azure per i server flessibili PostgreSQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare i server SQL abilitati per Arc per installare automaticamente Monitoraggio di Azure Agent | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nei server SQL abilitati per Arc Windows. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.3.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL | Configurare Windows SQL Server con abilitazione di Arc per installare automaticamente il Microsoft Defender per SQL Agent. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DistribuisciSeNonEsiste, Disattivato | 1.2.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e Log Analytics'area di lavoro nella stessa area del computer. | DistribuisciSeNonEsiste, Disattivato | 1.6.0 |
| Configurare SQL Server con abilitazione di Arc per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro definita dall'utente Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 1.8.0 |
| Configurare SQL Server con abilitazione di Arc con associazione di regole di raccolta dati per Microsoft Defender per SQL DCR | Configurare l'associazione tra SQL Server abilitati per Arc e il Microsoft Defender per SQL DCR. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare SQL Server con abilitazione di Arc con associazione di regole di raccolta dati per Microsoft Defender per il DCR definito dall'utente SQL | Configurare l'associazione tra SQL Server abilitati per Arc e il Microsoft Defender per DCR definito dall'utente SQL. L'eliminazione di questa associazione interromperà il rilevamento delle vulnerabilità di sicurezza per i server SQL abilitati per Arc. | DistribuisciSeNonEsiste, Disattivato | 1.3.0 |
| Configurare Azure Defender per abilitare il servizio app | Azure Defender per il servizio app sfrutta la scalabilità del cloud e la visibilità che Azure ha come provider di servizi cloud, per monitorare gli attacchi comuni alle app Web. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per abilitare Azure SQL database | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per abilitare i database relazionali open source | Azure Defender per i database relazionali open source rileva attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. Altre informazioni sulle funzionalità di Azure Defender per i database relazionali open source sono disponibili in https://aka.ms/AzDforOpenSourceDBsDocu. Importante: l'abilitazione di questo piano comporterà degli addebiti per la protezione dei database relazionali open source. Informazioni sui prezzi nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Azure Defender per abilitare Resource Manager | Azure Defender per Resource Manager monitora automaticamente le operazioni di gestione delle risorse nell'organizzazione. Azure Defender rileva minacce e avvisi sull'attività sospetta. Per altre informazioni sulle funzionalità di Azure Defender per Resource Manager, vedere https://aka.ms/defender-for-resource-manager . L'abilitazione di questo piano Azure Defender comporta addebiti. Informazioni sui dettagli sui prezzi per area nella pagina dei prezzi del Centro sicurezza: https://aka.ms/pricing-security-center. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Azure Defender per abilitare i server | Azure Defender per i server fornisce protezione dalle minacce in tempo reale per i carichi di lavoro del server e genera raccomandazioni sulla protezione avanzata, nonché avvisi sulle attività sospette. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare Azure Defender per i server SQL nei computer da abilitare | Azure Defender per SQL offre funzionalità per la visualizzazione e la mitigazione di potenziali vulnerabilità del database, il rilevamento di attività anomale che potrebbero indicare minacce ai database SQL e l'individuazione e la classificazione dei dati sensibili. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare le Microsoft Defender di base per l'abilitazione dell'archiviazione (solo monitoraggio attività) | Microsoft Defender per Archiviazione fornisce il rilevamento delle minacce nativo Azure per gli account di archiviazione. Questo criterio abilita le funzionalità di base (Monitoraggio attività). Per una protezione completa, tra cui l'analisi malware e l'individuazione dei dati sensibili, usare aka.ms/DFStoragePolicy. Aggiornamento della versione principale: PerTransaction non è più supportato per le nuove abilitazioni dal 5 febbraio 2025 in poi. Gli account esistenti che lo usano rimangono supportati. Altre informazioni: aka.ms/DF-Storage/NewPlanMigration. | DistribuisciSeNonEsiste, Disattivato | 2.0.0 |
| Configurare l'estensione ChangeTracking per i computer Linux Arc | Configurare i computer Linux Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Linux | Configurare i set di scalabilità di macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per le macchine virtuali Linux | Configurare le macchine virtuali Linux per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.2.0 |
| Configurare l'estensione ChangeTracking per Windows computer Arc | Configurare Windows computer Arc per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per i set di scalabilità di macchine virtuali Windows | Configurare Windows set di scalabilità di macchine virtuali per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file (FIM) in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.1.0 |
| Configurare l'estensione ChangeTracking per Windows macchine virtuali | Configurare Windows macchine virtuali per installare automaticamente l'estensione ChangeTracking per abilitare monitoraggio dell'integrità dei file in Centro sicurezza di Azure. FIM esamina i file del sistema operativo, i registri Windows, il software dell'applicazione, i file di sistema Linux e altro ancora, per individuare le modifiche che potrebbero indicare un attacco. L'estensione può essere installata in macchine virtuali e percorsi supportati da Monitoraggio di Azure Agent. | DistribuisciSeNonEsiste, Disattivato | 2.2.0 |
| Configurare i computer per ricevere un provider di valutazione della vulnerabilità | Azure Defender include l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. Non è necessaria una licenza Qualys, né un account Qualys: tutto viene gestito senza interruzioni all'interno del Centro sicurezza. Quando si abilita questo criterio, Azure Defender distribuisce automaticamente il provider di valutazione della vulnerabilità Qualys in tutti i computer supportati che non sono già installati. | DistribuisciSeNonEsiste, Disattivato | 4.0.0 |
| Configurare il piano di microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare microsoft Defender CSPM da abilitare | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.2 |
| Configurare Microsoft Defender per abilitare Azure Cosmos DB | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Intelligence sulle minacce, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti malintenzionati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per il piano contenitori | Le nuove funzionalità vengono aggiunte continuamente a Defender per il piano Contenitori, che potrebbe richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Configurare Microsoft Defender per l'abilitazione dei contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | DistribuisciSeNonEsiste, Disattivato | 1.0.1 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_EXCLUDE_LINUX...) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_EXCLUDE_LINUX_...), per abilitare il provisioning automatico di MDE per i server Linux. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP_UNIFIED_SOLUTION) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP_UNIFIED_SOLUTION), per abilitare il provisioning automatico dell'agente unificato MDE per Windows Server 2012R2 e 2016. Per applicare questa impostazione, è necessario attivare l'impostazione WDATP. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare le impostazioni di integrazione di Microsoft Defender per endpoint con Microsoft Defender per il cloud (WDATP) | Configura le impostazioni di integrazione Microsoft Defender per endpoint, all'interno di Microsoft Defender per il cloud (noto anche come WDATP), per Windows computer di livello inferiore di cui è stato eseguito l'onboarding in MDE tramite MMA e il provisioning automatico di MDE in Windows Server 2019 , Windows Desktop virtuale e versioni successive. Deve essere attivato affinché le altre impostazioni (WDATP_UNIFIED e così via) funzionino. Per altre informazioni, vedere https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per Key Vault piano | Microsoft Defender per Key Vault fornisce un ulteriore livello di protezione e intelligence per la sicurezza rilevando tentativi insoliti e potenzialmente dannosi di accedere o sfruttare gli account key vault. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Microsoft Defender per il piano Server | Le nuove funzionalità vengono aggiunte continuamente a Defender per i server, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per il piano server (P1 OR P2) | Assicura che la Microsoft Defender selezionata per il sottopiano Server (P1 o P2) sia abilitata a livello di sottoscrizione. Questo criterio supporta la selezione dinamica tramite parametri e applica la distribuzione se non è già configurata. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Microsoft Defender per l'abilitazione di SQL nelle aree di lavoro di Synapse | Abilitare Microsoft Defender per SQL nelle aree di lavoro Azure Synapse per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database SQL. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare Microsoft Defender per l'abilitazione dell'archiviazione | Microsoft Defender per l'archiviazione è un livello nativo Azure di intelligence per la sicurezza che rileva potenziali minacce agli account di archiviazione. Questo criterio abiliterà tutte le Defender per le funzionalità di archiviazione; Monitoraggio delle attività, analisi malware e rilevamento delle minacce per i dati sensibili. Per altre informazioni sulle Defender per funzionalità e vantaggi di archiviazione, visitare aka.ms/DefenderForStorage. | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Configurare Microsoft Defender protezione dalle minacce per i servizi di intelligenza artificiale | Le nuove funzionalità vengono aggiunte continuamente alla protezione dalle minacce per i servizi di intelligenza artificiale, che potrebbero richiedere l'abilitazione esplicita dell'utente. Usare questo criterio per assicurarsi che tutte le nuove funzionalità saranno abilitate. | DistribuisciSeNonEsiste, Disattivato | 1.1.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Monitoraggio di Azure Agent | Automatizzare la distribuzione dell'estensione Monitoraggio di Azure Agent nel Macchine virtuali SQL Windows. Altre informazioni: https://aka.ms/AMAOverview | DistribuisciSeNonEsiste, Disattivato | 1.6.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL | Configurare Windows Macchine virtuali SQL per installare automaticamente il Microsoft Defender per l'estensione SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DistribuisciSeNonEsiste, Disattivato | 1.6.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse, una regola di raccolta dati e Log Analytics'area di lavoro nella stessa area del computer. | DistribuisciSeNonEsiste, Disattivato | 1.9.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per SQL e DCR con un'area di lavoro LA definita dall'utente | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e una regola di raccolta dati nella stessa area dell'area di lavoro definita dall'utente Log Analytics. | DistribuisciSeNonEsiste, Disattivato | 1.10.0 |
| Configurare Macchine virtuali SQL per installare automaticamente Microsoft Defender per l'estensione SQL | Configurare Windows Macchine virtuali SQL per installare automaticamente il Microsoft Defender per l'estensione SQL. Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Configurare il Microsoft Defender per l'area di lavoro di SQL Log Analytics | Microsoft Defender per SQL raccoglie gli eventi dall'agente e li usa per fornire avvisi di sicurezza e attività di protezione avanzata personalizzate (raccomandazioni). Creare un gruppo di risorse e Log Analytics'area di lavoro nella stessa area del computer. | DistribuisciSeNonEsiste, Disattivato | 1.5.0 |
| Creare e assegnare un'identità gestita assegnata dall'utente predefinita | Creare e assegnare un'identità gestita assegnata dall'utente predefinita su larga scala alle macchine virtuali SQL. | AuditIfNotExists, DeployIfNotExists, Disabilitato | 1.8.0 |
| Deploy - Configurare le regole di eliminazione per gli avvisi di Centro sicurezza di Azure | Eliminare Centro sicurezza di Azure avvisi per ridurre l'affaticamento degli avvisi distribuendo regole di eliminazione nel gruppo di gestione o nella sottoscrizione. | deployIfNotExists | 1.0.0 |
| Esportare in Hub eventi come servizio attendibile per Microsoft Defender per il cloud dati | Abilitare l'esportazione in Hub eventi come servizio attendibile di dati Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione in Event Hub come configurazione di servizio attendibile con le condizioni e l'Event Hub di destinazione sull'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Esportare in Hub eventi per Microsoft Defender per il cloud dati | Abilitare l'esportazione nell'hub eventi dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione nella configurazione dell'hub eventi con le condizioni e l'hub eventi di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.2.0 |
| esportazione di Deploy nell'area di lavoro Log Analytics per Microsoft Defender per il cloud dati | Abilitare l'esportazione in Log Analytics'area di lavoro dei dati di Microsoft Defender per il cloud. Questo criterio distribuisce un'esportazione in Log Analytics configurazione dell'area di lavoro con le condizioni e l'area di lavoro di destinazione nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender per il cloud alerts | Abilitare l'automazione degli avvisi di Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender per il cloud recommendations | Abilitare l'automazione delle raccomandazioni Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender per il cloud compliance alle normative | Abilitare l'automazione della conformità alle normative Microsoft Defender per il cloud. Questo criterio distribuisce un'automazione del flusso di lavoro con le condizioni e i trigger nell'ambito assegnato. Per distribuire questo criterio in sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 5.0.1 |
| È consigliabile abilitare le notifiche di posta elettronica per gli avvisi con gravità alta | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, abilitare l'invio delle notifiche tramite posta elettronica per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.2.0 |
| È consigliabile abilitare le notifiche di posta elettronica al proprietario della sottoscrizione per gli avvisi con gravità alta | Per garantire che i proprietari della sottoscrizione ricevano una notifica in caso di potenziale violazione della sicurezza nella sottoscrizione, impostare l'invio delle notifiche tramite posta elettronica ai proprietari della sottoscrizione per gli avvisi con gravità elevata nel Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 2.1.0 |
| Enable Microsoft Defender per il cloud nella sottoscrizione | Identifica le sottoscrizioni esistenti che non vengono monitorate da Microsoft Defender per il cloud e le protegge con le funzionalità gratuite di Defender per il cloud. Le sottoscrizioni già monitorate verranno considerate conformi. Per registrare le sottoscrizioni appena create, aprire la scheda Conformità, selezionare l'assegnazione non conforme pertinente e creare un'attività di correzione. | deployIfNotExists | 1.0.1 |
| Provisioning automatico del Centro sicurezza di Log Analytics nelle sottoscrizioni con area di lavoro personalizzata. | Consentire al Centro sicurezza di effettuare automaticamente il provisioning dell'agente Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza usando un'area di lavoro personalizzata. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Provisioning automatico del Centro sicurezza di Log Analytics nelle sottoscrizioni con area di lavoro predefinita. | Consentire al Centro sicurezza di effettuare automaticamente il provisioning dell'agente Log Analytics nelle sottoscrizioni per monitorare e raccogliere i dati di sicurezza usando l'area di lavoro predefinita del Centro sicurezza di Azure. | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Abilitare la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale | Microsoft la protezione dalle minacce per i carichi di lavoro di intelligenza artificiale fornisce avvisi di sicurezza contestualizzati basati su prove volti a proteggere le applicazioni basate su intelligenza artificiale generative cresciute a casa | DistribuisciSeNonEsiste, Disattivato | 1.0.0 |
| Gli account Guest con autorizzazioni di proprietario per le risorse Azure devono essere rimossi | È necessario rimuovere dalla sottoscrizione gli account esterni con autorizzazioni di proprietario in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di lettura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di lettura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario rimuovere gli account Guest con autorizzazioni di scrittura per le risorse Azure | È necessario rimuovere dalla sottoscrizione gli account esterni con privilegi di scrittura in modo da evitare l'accesso non monitorato. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| L'estensione Configurazione guest deve essere installata nei computer | Per garantire configurazioni sicure delle impostazioni guest del computer, installare l'estensione Configurazione guest. Le impostazioni in guest monitorate dall'estensione includono la configurazione del sistema operativo, della configurazione o della presenza dell'applicazione e delle impostazioni dell'ambiente. Dopo l'installazione, i criteri guest saranno disponibili, ad esempio "Windows Exploit Guard deve essere abilitato". Per ulteriori informazioni, vedi https://aka.ms/gcpol. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| Le macchine virtuali con connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'inoltro IP nella macchina virtuale deve essere disabilitato | L'abilitazione dell'inoltro IP sulla scheda di rete di una macchina virtuale consente alla macchina virtuale di ricevere traffico indirizzato ad altre destinazioni. L'inoltro IP è richiesto raramente, ad esempio, quando si usa la macchina virtuale come appliance virtuale di rete, di conseguenza l'abilitazione di questa impostazione deve essere verificata dal team di sicurezza della rete. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| I servizi Kubernetes devono essere aggiornati a una versione di Kubernetes non vulnerabile | Aggiornare il cluster del servizio Kubernetes a una versione più recente di Kubernetes per proteggersi dalle vulnerabilità note nella versione corrente di Kubernetes. È stata applicata una patch per la vulnerabilità CVE-2019-9946 nelle versioni di Kubernetes 1.11.9+, 1.12.7+, 1.13.5+ e 1.14.0+ | Controllo, Disabilitato | 1.0.2 |
| Log Analytics agent deve essere installato nelle istanze del ruolo servizi cloud (supporto esteso) | Centro sicurezza raccoglie i dati dalle istanze di ruolo Servizi cloud (supporto esteso) per monitorare le vulnerabilità e le minacce per la sicurezza. | VerificaSeNonEsiste, Disabilitato | 2.0.0 |
| È necessario che i risultati per i segreti delle macchine virtuali siano risolti | Controlla le macchine virtuali per rilevare se contengono risultati segreti dalle soluzioni di analisi dei segreti nelle macchine virtuali. | VerificaSeNonEsiste, Disabilitato | 1.0.2 |
| Le porte di gestione delle macchine virtuali devono essere protette tramite un controllo di accesso alla rete JIT | L'accesso JIT (Just-In-Time) di rete possibile verrà monitorato da Centro sicurezza di Azure come raccomandazioni | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| È consigliabile chiudere le porte di gestione nelle macchine virtuali | Le porte di gestione remota aperte espongono la macchina virtuale a un rischio elevato derivante da attacchi di forza bruta basati su Internet per sottrarre le credenziali e ottenere l'accesso di amministratore alla macchina virtuale. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| è necessario abilitare Microsoft Defender CSPM | Defender Cloud Security Posture Management (CSPM) offre funzionalità di comportamento avanzate e un nuovo grafo intelligente per la sicurezza del cloud per identificare, classificare in ordine di priorità e ridurre i rischi. Defender CSPM è disponibile oltre alle funzionalità di sicurezza di base gratuite attivate per impostazione predefinita in Defender per il cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Microsoft Defender per i servizi di intelligenza artificiale deve essere abilitato | Controllare se Microsoft Defender per i servizi di intelligenza artificiale è abilitato nella sottoscrizione. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per le API | Microsoft Defender per le API offre nuove funzionalità di individuazione, protezione, rilevamento e copertura delle risposte per monitorare gli attacchi comuni basati su API e configurazioni errate della sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.3 |
| è necessario abilitare Microsoft Defender per Azure Cosmos DB | Microsoft Defender per Azure Cosmos DB è un livello di sicurezza nativo di Azure che rileva i tentativi di sfruttare i database negli account Azure Cosmos DB. Defender per Azure Cosmos DB rileva potenziali attacchi SQL injection, attori malintenzionati noti basati su Microsoft Intelligence sulle minacce, modelli di accesso sospetti e potenziali sfruttamento del database tramite identità compromesse o utenti malintenzionati. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per i contenitori | Microsoft Defender per i contenitori offre protezione avanzata, valutazione delle vulnerabilità e runtime per gli ambienti Kubernetes Azure, ibridi e multi-cloud. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette | Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| è necessario abilitare Microsoft Defender per l'archiviazione | Microsoft Defender per Archiviazione rileva potenziali minacce agli account di archiviazione. Consente di evitare i tre principali impatti sui dati e sul carico di lavoro: caricamenti di file dannosi, esfiltrazione di dati sensibili e danneggiamento dei dati. La nuova Defender per il piano di archiviazione include l'analisi malware e il rilevamento delle minacce ai dati sensibili. Questo piano fornisce anche una struttura prezzi stimabile (per account di archiviazione) per avere controllo sulla copertura e sui costi. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Le macchine virtuali senza connessione Internet devono essere protette con i gruppi di sicurezza di rete | Protegge le macchine virtuali senza connessione Internet da potenziali minacce limitandone l'accesso con i gruppi di sicurezza di rete. Per altre informazioni sul controllo del traffico con i gruppi di sicurezza di rete, vedere https://aka.ms/nsg-doc | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Role-Based Controllo di accesso (RBAC) deve essere usato nei servizi Kubernetes | Per fornire un filtro granulare sulle azioni che gli utenti possono eseguire, usare Role-Based Controllo di accesso (RBAC) per gestire le autorizzazioni nei cluster del servizio Kubernetes e configurare i criteri di autorizzazione pertinenti. | Controllo, Disabilitato | 1.1.0 |
| È consigliabile selezionare il piano tariffario Standard del Centro sicurezza | Il piano tariffario standard consente il rilevamento delle minacce per reti e macchine virtuali, fornendo intelligence sulle minacce, rilevamento anomalie e analisi del comportamento in Centro sicurezza di Azure | Controllo, Disabilitato | 1.1.0 |
| Configurare le sottoscrizioni per la transizione a una soluzione di valutazione della vulnerabilità alternativa | Microsoft Defender per il cloud offre l'analisi delle vulnerabilità per i computer senza costi aggiuntivi. L'abilitazione di questo criterio causerà la propagazione automatica dei risultati Defender per il cloud dalla soluzione predefinita di gestione delle vulnerabilità Microsoft Defender a tutti i computer supportati. | DistribuisciSeNonEsiste, Disattivato | 1.0.0-preview |
| I risultati delle vulnerabilità devono essere risolti nei database SQL | Consente di monitorare i consigli e i risultati dell'analisi della valutazione della vulnerabilità per informazioni su come correggere le vulnerabilità del database. | VerificaSeNonEsiste, Disabilitato | 4.1.0 |
| Il provisioning automatico di destinazione di SQL Server deve essere abilitato per i server SQL nel piano computer | Per assicurarsi che le macchine virtuali SQL e i server SQL abilitati per Arc siano protetti, assicurarsi che l'agente di monitoraggio di Azure di destinazione SQL sia configurato per la distribuzione automatica. Questa operazione è necessaria anche se è stato configurato in precedenza il provisioning automatico dell'agente di monitoraggio Microsoft, perché il componente è deprecato. Altre informazioni: https://aka.ms/SQLAMAMigration | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| I risultati delle vulnerabilità devono essere risolti nei server SQL | Valutazione della vulnerabilità di SQL analizza il database per individuare vulnerabilità a livello di sicurezza ed espone eventuali scostamenti dalle procedure consigliate, ad esempio configurazioni errate, autorizzazioni eccessive e dati sensibili non protetti. La risoluzione delle vulnerabilità rilevate può migliorare significativamente il comportamento di sicurezza del database. | VerificaSeNonEsiste, Disabilitato | 1.0.0 |
| Le subnet devono essere associate a un gruppo di sicurezza di rete | È possibile proteggere la subnet dalle minacce potenziali limitando l'accesso alla subnet con un gruppo di sicurezza di rete. I gruppi di sicurezza di rete contengono un elenco di regole elenco di Controllo di accesso che consentono o negano il traffico di rete verso la subnet. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| Per le sottoscrizioni deve essere impostato un indirizzo di posta elettronica di contatto per i problemi relativi alla sicurezza | Per garantire che le persone pertinenti all'interno dell'organizzazione ricevano una notifica in caso di potenziale violazione della sicurezza in una delle sottoscrizioni, impostare un contatto di sicurezza per la ricezione delle notifiche tramite posta elettronica dal Centro sicurezza. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| È consigliabile installare gli aggiornamenti di sistema nei computer (tramite Update Center) | Nei computer mancano aggiornamenti di sistema, di sicurezza e critici. Gli aggiornamenti software spesso includono patch critiche per i problemi di sicurezza. Tali vulnerabilità vengono spesso sfruttate in attacchi di malware, quindi è fondamentale tenere aggiornato il software. Per installare tutte le patch in sospeso e proteggere i computer, seguire la procedura di correzione. | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
| Alla sottoscrizione deve essere assegnato più di un proprietario | È consigliabile designare più di un proprietario di sottoscrizione per assicurare la ridondanza dell'accesso amministratore. | VerificaSeNonEsiste, Disabilitato | 3.0.0 |
| L'estensione Configurazione guest delle macchine virtuali deve essere distribuita con un'identità gestita assegnata dal sistema | L'estensione Configurazione guest richiede un'identità gestita assegnata al sistema. Azure macchine virtuali nell'ambito di questo criterio non saranno conformi quando l'estensione Configurazione guest è installata ma non dispone di un'identità gestita assegnata dal sistema. Per altre informazioni: https://aka.ms/gcpol | VerificaSeNonEsiste, Disabilitato | 1.0.1 |
Passaggi successivi
In questo articolo sono state illustrate Criteri di Azure definizioni dei criteri di sicurezza in Defender per il cloud. Per altre informazioni sulle iniziative, i criteri e il modo in cui si riferiscono alle raccomandazioni di Defender per il cloud, vedere Che sono criteri di sicurezza, iniziative e raccomandazioni?.