Azure Resource Manager에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Resource Manager에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Resource Manager
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 활동 로그는 1년 이상 보존되어야 합니다. | 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 리소스 그룹에 태그 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가합니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에 태그 추가 또는 바꾸기 | 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. | 수정 | 1.0.0 |
| 구독에 태그 추가 또는 바꾸기 | 수정 작업을 통해 지정된 태그 및 값을 구독에 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. | 수정 | 1.0.0 |
| 리소스 그룹에 허용된 위치 | 이 정책을 통해 조직에서 리소스 그룹을 만들 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | deny | 1.0.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 리소스 그룹에서 태그 및 해당 값 추가 | 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스 그룹이 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스 그룹의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). | 추가 | 1.0.0 |
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 | 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. | 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. | 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitor 솔루션 '보안 및 감사'가 배포되어야 합니다. | 이 정책은 보안 및 감사가 배포되었는지 확인합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. | 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 지정된 Log Analytics 작업 영역으로 스트림할 Azure 활동 로그 구성 | 구독 감사 로그를 Log Analytics 작업 영역으로 스트리밍하기 위한 Azure Activity의 진단 설정을 배포하여 구독 수준 이벤트를 모니터링합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| App Service용 Azure Defender를 사용하도록 구성 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| Azure SQL용 Azure Defender 데이터베이스를 사용하도록 구성 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 오픈 소스 관계형 데이터베이스를 사용하도록 Azure Defender 구성 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Defender for Resource Manager를 사용하도록 구성 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 서버용 Azure Defender를 사용하도록 구성 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 머신에서 Azure Defender for SQL 서버를 사용하도록 구성 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 기본 스토리지용 Microsoft Defender를 사용하도록 구성(작업 모니터링만 해당) | 스토리지용 Microsoft Defender는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 이 정책은 기본 스토리지용 Defender 기능(작업 모니터링)을 사용하도록 설정합니다. 전체 보호(업로드 시 맬웨어 검사 및 중요한 데이터 위협 탐지 포함)를 사용하도록 설정하려면 전체 사용 설정 정책인 aka.ms/DefenderForStoragePolicy를 사용합니다. 스토리지용 Defender 기능 및 이점에 대해 자세히 알아보려면 aka.ms/DefenderForStorage를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Site Recovery를 통해 복제를 사용하여 가상 머신에서 재해 복구 구성 | 재해 복구 구성이 없는 가상 머신은 중단 및 기타 중단에 취약합니다. 가상 머신에 재해 복구가 아직 구성되지 않은 경우에는 미리 설정된 구성을 사용하여 복제를 사용하도록 설정해 비즈니스 연속성을 촉진함으로써 동일한 작업을 시작합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함/제외할 수 있습니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | DeployIfNotExists, 사용 안 함 | 2.1.0 |
| Log Analytics 작업 영역 및 자동화 계정을 구성하여 로그 및 모니터링 중앙 집중화 | Log Analytics 작업 영역 및 연결된 자동화 계정을 포함하는 리소스 그룹을 배포하여 로그 및 모니터링을 중앙에서 집중적으로 처리합니다. 자동화 계정은 업데이트 및 변경 내용 추적과 같은 솔루션의 필수 조건입니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0 |
| Microsoft Defender CSPM 계획 구성 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft Defender CSPM이 활성화되도록 구성 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Cosmos DB용 Microsoft Defender를 사용하도록 구성 | Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 컨테이너용 Microsoft Defender 계획 구성 | 컨테이너용 Defender 계획에는 새로운 기능이 지속적으로 추가되고 있으며, 이를 위해서는 사용자의 명시적인 사용하도록 설정이 필요할 수 있습니다. 모든 새로운 기능이 사용하도록 설정되도록 하려면 이 정책을 사용합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 사용할 컨테이너용 Microsoft Defender 구성 | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 클라우드용 Microsoft Defender(WDATP_EXCLUDE_LINUX...)를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성 | Linux 서버용 MDE 자동 프로비전을 사용하도록 설정하기 위해 클라우드용 Microsoft Defender(WDATP_EXCLUDE_LINUX_...라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성합니다. 이 설정을 적용하려면 WDATP 설정이 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender(WDATP_UNIFIED_SOLUTION)를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성 | Windows Server 2012R2 및 2016용 MDE 통합 에이전트의 자동 프로비전을 사용하도록 설정하기 위해 클라우드용 Microsoft Defender(WDATP_UNIFIED_SOLUTION이라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성합니다. 이 설정을 적용하려면 WDATP 설정이 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender를 사용하여 엔드포인트용 Microsoft Defender 통합 설정 구성(WDATP) | MMA를 통해 MDE에 온보딩된 Windows 하위 수준 컴퓨터에 대해 클라우드용 Microsoft Defender(WDATP라고도 함) 내에서 엔드포인트용 Microsoft Defender 통합 설정을 구성하고 Windows Server 2019, Windows Virtual Desktop 이상에서 MDE 자동 프로비전을 구성합니다. 다른 설정(WDATP_UNIFIED 등)이 작동하려면 켜져 있어야 합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Key Vault용 Microsoft Defender 플랜 구성 | Key Vault용 Microsoft Defender는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 서버용 Microsoft Defender 계획 구성 | 서버용 Defender에는 새로운 기능이 지속적으로 추가되고 있으며, 이를 위해서는 사용자의 명시적인 사용하도록 설정이 필요할 수 있습니다. 모든 새로운 기능이 사용하도록 설정되도록 하려면 이 정책을 사용합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지용 Microsoft Defender(클래식)를 사용하도록 구성 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | DeployIfNotExists, 사용 안 함 | 1.0.2 |
| 스토리지용 Microsoft Defender를 사용하도록 구성 | 스토리지용 Microsoft Defender는 스토리지 정에 대한 잠재적 위협을 탐지하는 Azure 네이티브 보안 인텔리전스 계층입니다. 이 정책은 모든 스토리지용 Defender 기능(작업 모니터링, 맬웨어 검사, 중요한 데이터 위협 탐지)을 사용하도록 설정합니다. 스토리지용 Defender 기능 및 이점에 대해 자세히 알아보려면 aka.ms/DefenderForStorage를 방문하세요. | DeployIfNotExists, 사용 안 함 | 1.3.0 |
| 미리 보기 기능을 설정하려면 구독을 구성합니다. | 이 정책은 기존 구독의 미리 보기 기능을 평가합니다. 새로운 미리 보기 기능에 등록하기 위해 구독을 수정할 수 있습니다. 신규 구독은 자동으로 등록되지 않습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 배포 - Azure Security Center 경고에 대한 비표시 규칙 구성 | 관리 그룹 또는 구독에 대한 비표시 규칙을 배포하여 경고 피로를 줄이려면 Azure Security Center 경고를 표시하지 않습니다. | deployIfNotExists | 1.0.0 |
| 이벤트 허브로 내보내기를 클라우드용 Microsoft Defender 데이터를 위한 신뢰할 수 있는 서비스로 배포 | Event Hub로 내보내기를 클라우드용 Microsoft Defender 데이터를 위한 신뢰할 수 있는 서비스로 사용하도록 설정합니다. 이 정책은 할당된 범위의 조건 및 대상 Event Hub를 사용하여 신뢰할 수 있는 서비스 구성으로 Event Hub에 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기 배포 | 클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 Event Hub를 사용하여 Event Hub 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 4.2.0 |
| 클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기 배포 | 클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 작업 영역을 사용하여 Log Analytics 작업 영역 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 4.1.0 |
| Microsoft Defender for Cloud 경고에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 경고의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| Microsoft Defender for Cloud 권장 사항에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 권장 사항의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| 클라우드용 Microsoft Defender 규정 준수에 대한 워크플로 자동화 배포 | 클라우드용 Microsoft Defender 규정 준수의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 5.0.1 |
| 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.2.0 |
| 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 구독에서 클라우드용 Microsoft Defender 사용 | 클라우드용 Microsoft Defender에서 모니터링하지 않는 기존 구독을 식별하고, 클라우드용 Defender의 무료 기능을 사용하여 보호합니다. 이미 모니터링한 구독은 규정을 준수하는 것으로 간주됩니다. 새로 만든 구독을 등록하려면 규정 준수 탭을 열고, 관련 비준수 할당을 선택하고, 수정 작업을 만듭니다. | deployIfNotExists | 1.0.1 |
| Security Center가 사용자 지정 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. | Security Center에서 사용자 지정 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Security Center가 기본 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. | Security Center에서 ASC 기본 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 사용 비용 리소스 제외 | 이 정책을 사용하면 사용 비용 리소스를 제외할 수 있습니다. 사용 비용에는 측정된 스토리지 및 사용량에 따라 요금이 청구되는 Azure 리소스 등이 포함됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정해야 함 | Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 리소스 그룹에 태그 및 해당 값 필요 | 리소스 그룹에 필요한 태그와 해당 값을 적용합니다. | deny | 1.0.0 |
| 리소스 그룹에 태그 필요 | 리소스 그룹에 태그 사용을 적용합니다. | deny | 1.0.0 |
| 대체 취약성 평가 솔루션으로 전환하기 위한 구독 설정 | 클라우드용 Microsoft Defender는 추가 비용 없이 컴퓨터에 대한 취약성 검색을 제공합니다. 이 정책을 사용하도록 설정하면 클라우드용 Defender가 기본 제공 Microsoft Defender 취약성 관리 솔루션의 결과를 지원되는 모든 컴퓨터에 자동으로 전파합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기