Condividi tramite


Criteri di Azure definizioni predefinite per Azure Synapse Analytics

Questa pagina è un indice di Criteri di Azure definizioni di criteri predefinite per Azure Synapse. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.

Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.

Azure Synapse

Nome
(Portale di Azure)
Descrizione Effetti Versione
(GitHub)
È consigliabile abilitare il controllo nell'area di lavoro Synapse Abilitare il controllo nell'area di lavoro Synapse per verificare le attività del database in tutti i database nei pool SQL dedicati e salvarle in un log di controllo. AuditIfNotExists, Disabled 1.0.0
Per i pool SQL dedicati di Azure Synapse Analytics deve essere abilitata la crittografia Abilitare Transparent Data Encryption per i pool SQL dedicati di Azure Synapse Analytics per proteggere i dati inattivi e soddisfare i requisiti di conformità. Si noti che l'abilitazione di Transparent Data Encryption per il pool può influire sulle prestazioni delle query. Altri dettagli possono fare riferimento a https://go.microsoft.com/fwlink/?linkid=2147714 AuditIfNotExists, Disabled 1.0.0
Il Server SQL dell’area di lavoro Azure Synapse deve eseguire TLS versione 1.2 o successiva L'impostazione di TLS versione 1.2 o successiva migliora la sicurezza assicurando che il server SQL dell'area di lavoro di Azure Synapse sia accessibile solo dai client che usano TLS 1.2 o versione successiva. Non è consigliabile usare versioni di TLS precedenti alla versione 1.2 in quanto presentano vulnerabilità della sicurezza ben documentate. Audit, Deny, Disabled 1.1.0
Le aree di lavoro Azure Synapse devono consentire solo il traffico dati in uscita verso le destinazioni approvate Aumentare la sicurezza dell'area di lavoro Synapse consentendo il traffico dei dati in uscita solo alle destinazioni approvate. Ciò consente di prevenire l'esfiltrazione dei dati convalidando la destinazione prima di inviare dati. Audit, Disabled, Deny 1.0.0
Le aree di lavoro Azure Synapse devono disabilitare l'accesso alla rete pubblica La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che l'area di lavoro di Synapse non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione delle aree di lavoro di Synapse. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Audit, Deny, Disabled 1.0.0
Le aree di lavoro Azure Synapse devono usare chiavi gestite dal cliente per la crittografia dei dati inattivi Usare le chiavi gestite dal cliente per controllare la crittografia dei dati inattivi archiviati nelle aree di lavoro di Azure Synapse. Le chiavi gestite dal cliente offrono la doppia crittografia con l'aggiunta di un secondo livello di crittografia su quella predefinita eseguito con le chiavi gestite dal servizio. Audit, Deny, Disabled 1.0.0
Le area di lavoro Azure Synapse devono usare collegamenti privati Collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati all'area di lavoro di Azure Synapse, i rischi di perdita dei dati vengono ridotti. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. Audit, Disabled 1.0.1
Configurare l’SQL dedicato dell’area di lavoro Azure Synapse alla versione TLS minima I clienti possono generare o ridurre la versione minima di TLS usando l'API, sia per le nuove aree di lavoro di Synapse che per le aree di lavoro esistenti. Gli utenti che devono usare una versione client inferiore nelle aree di lavoro possono quindi connettersi mentre gli utenti con requisiti di sicurezza possono aumentare la versione minima di TLS. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modifica, disattivato 1.1.0
Configurare le aree di lavoro Azure Synapse per disabilitare l'accesso alla rete pubblica Disabilitare l'accesso alla rete pubblica per l'area di lavoro di Synapse in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. Modifica, disattivato 1.0.0
Configurare aree di lavoro Azure Synapse con endpoint privati Gli endpoint privati connettono la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. Eseguendo il mapping di endpoint privati alle aree di lavoro di Azure Synapse, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. DeployIfNotExists, Disabled 1.0.0
Configurare Microsoft Defender per SQL per l'abilitazione nelle aree di lavoro di Synapse Abilitare Microsoft Defender per SQL nelle aree di lavoro di Azure Synapse per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database SQL. DeployIfNotExists, Disabled 1.0.0
Configurare le aree di lavoro Synapse con il controllo abilitato Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Ciò è talvolta necessario per la conformità agli standard normativi. DeployIfNotExists, Disabled 2.0.0
Configurare le aree di lavoro di Synapse in modo che il controllo sia abilitato per l'area di lavoro Log Analytics Per garantire che le operazioni eseguite sugli asset SQL vengano acquisite, le aree di lavoro di Synapse devono avere abilitato il controllo. Se il controllo non è abilitato, questo criterio configurerà gli eventi di controllo per la trasmissione all'area di lavoro Log Analytics specificata. DeployIfNotExists, Disabled 1.0.0
Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione Richiedere e riconfigurare le aree di lavoro di Synapse per l'uso dell'autenticazione solo Entra-only di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale e la riattivazione dell'autenticazione solo Entra-only per le risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. Modifica, disattivato 1.0.0
Configurare le aree di lavoro di Synapse in modo da usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro Richiedere e riconfigurare le aree di lavoro di Synapse da creare con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. Modifica, disattivato 1.2.0
Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) nell'hub eventi I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) in Log Analytics I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools) in Archiviazione I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool di Apache Spark (microsoft.synapse/workspaces/bigdatapools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Hub eventi I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Log Analytics I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per Azure Synapse Analytics (microsoft.synapse/workspaces) in Archiviazione I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per Azure Synapse Analytics (microsoft.synapse/workspaces). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Hub eventi I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Log Analytics I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per pool SQL dedicati (microsoft.synapse/workspaces/sqlpools) in Archiviazione I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool SQL dedicati (microsoft.synapse/workspaces/sqlpools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Hub eventi I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Log Analytics I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per microsoft.synapse/workspaces/kustopools in Archiviazione I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per microsoft.synapse/workspaces/kustopools. DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Hub eventi I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per i pool SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Log Analytics I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per i pool SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Abilitare la registrazione per gruppo di categorie per i pool SCOPE (microsoft.synapse/workspaces/scopepools) in Archiviazione I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per i pool SCOPE (microsoft.synapse/workspaces/scopepools). DeployIfNotExists, AuditIfNotExists, Disabled 1.0.0
Le regole del firewall IP nelle aree di lavoro Azure Synapse devono essere rimosse La rimozione di tutte le regole del firewall IP migliora la sicurezza, in quanto garantisce che all'area di lavoro di Azure Synapse sia possibile accedere solo da un endpoint privato. Questa configurazione controlla la creazione di regole del firewall che consentono l'accesso alla rete pubblica nell'area di lavoro. Audit, Disabled 1.0.0
La rete virtuale dell'area di lavoro gestita deve essere abilitata nelle aree di lavoro Azure Synapse L'abilitazione di una rete virtuale dell'area di lavoro gestita garantisce che l'area di lavoro sia isolata da altre aree di lavoro in rete. L'integrazione dei dati e le risorse di Spark distribuite in questa rete virtuale fornisce anche l'isolamento a livello di utente per le attività di Spark. Audit, Deny, Disabled 1.0.0
Microsoft Defender per SQL deve essere abilitato per le aree di lavoro Synapse non protette Abilitare Defender per SQL per proteggere le aree di lavoro di Synapse. Defender per SQL monitora Synapse SQL per rilevare attività anomale che indicano tentativi insoliti e potenzialmente dannosi di accedere o sfruttare i database. AuditIfNotExists, Disabled 1.0.0
Gli endpoint privati gestiti da Synapse devono connettersi solo alle risorse nei tenant di Azure Active Directory approvati Protegge l'area di lavoro Synapse consentendo solo connessioni alle risorse nei tenant di Azure Active Directory (Azure AD) approvati. I tenant di Azure AD approvati possono essere definiti durante l'assegnazione dei criteri. Audit, Disabled, Deny 1.0.0
Le impostazioni di controllo dell'area di lavoro Synapse devono avere gruppi di azioni configurati per acquisire attività critiche Per assicurarsi che i log di controllo siano il più accurato possibile, la proprietà AuditActionsAndGroups deve includere tutti i gruppi pertinenti. È consigliabile aggiungere almeno SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP e BATCH_COMPLETED_GROUP. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 1.0.0
Per le aree di lavoro di Synapse deve essere abilitata l'autenticazione solo Entra di Microsoft Richiedere alle aree di lavoro di Synapse di usare l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la creazione delle aree di lavoro con l'autenticazione locale abilitata. Impedisce l'abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. Audit, Deny, Disabled 1.0.0
Le aree di lavoro di Synapse devono usare solo le identità di Microsoft Entra per l'autenticazione durante la creazione dell'area di lavoro Richiedere la creazione delle aree di lavoro di Synapse con l'autenticazione solo Entra di Microsoft. Questo criterio non impedisce la ri-abilitazione dell'autenticazione locale nelle risorse dopo la creazione. Considerare l'uso dell'iniziativa "autenticazione solo Microsoft Entra" per richiedere entrambe. Per altre informazioni, vedere https://aka.ms/Synapse. Audit, Deny, Disabled 1.2.0
Le aree di lavoro Synapse con il controllo SQL nella destinazione dell'account di archiviazione devono essere configurate con un periodo di conservazione di 90 giorni o superiore Ai fini dell'analisi degli eventi imprevisti, è consigliabile impostare la conservazione dei dati per il controllo SQL dell'area di lavoro di Synapse sulla destinazione dell'account di archiviazione su almeno 90 giorni. Verificare di soddisfare le regole di conservazione necessarie per le aree in cui si lavora. Ciò è talvolta necessario per la conformità agli standard normativi. AuditIfNotExists, Disabled 2.0.0
La soluzione Valutazione della vulnerabilità deve essere abilitata nelle aree di lavoro Synapse Consente di individuare, tenere traccia e correggere potenziali vulnerabilità configurando analisi di valutazione delle vulnerabilità SQL ricorrenti nelle aree di lavoro Synapse. AuditIfNotExists, Disabled 1.0.0

Passaggi successivi