Ingebouwde beleidsdefinities voor Azure Policy
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities.
De naam van elke ingebouwde koppeling naar de beleidsdefinitie in Azure Portal. Gebruik de koppeling in de kolom Bron om de bron te bekijken in de Azure Policy GitHub-opslagplaats. De ingebouwde initiatiefdefinities zijn gegroepeerd op de eigenschap categorie in metagegevens. Als u naar een specifieke categorie wilt gaan, gebruikt u Ctrl-F voor de zoekfunctie van uw browser.
API for FHIR
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure API for FHIR moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling van data-at-rest te beheren van de gegevens die in Azure API for FHIR zijn opgeslagen als dit een vereiste is vanwege regelgeving of naleving. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels. | controle, controle, uitgeschakeld, uitgeschakeld | 1.1.0 |
| De Azure-API voor FHIR moet een privé-koppeling gebruiken | De Azure-API voor FHIR moet over ten minste een goedgekeurde privé-eindpuntverbinding beschikken. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/fhir-privatelink. | Controle, uitgeschakeld | 1.0.0 |
| CORS mag er niet toe leiden dat elk domein toegang tot uw API voor FHIR heeft | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw API voor FHIR. Als u uw API voor FHIR wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u de domeinen die zijn toegestaan om verbinding te maken. | controle, controle, uitgeschakeld, uitgeschakeld | 1.1.0 |
API Management
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| API Management-API's mogen alleen versleutelde protocollen gebruiken | Om de beveiliging van gegevens in transit te waarborgen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. | Controleren, uitgeschakeld, weigeren | 2.0.2 |
| API Management-aanroepen naar API-back-ends moeten worden geverifieerd | Aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of dit via certificaten of referenties is. Is niet van toepassing op Service Fabric-back-ends. | Controleren, uitgeschakeld, weigeren | 1.0.1 |
| API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan | Om de API-beveiliging te verbeteren, moet API Management het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld | De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service wordt verhoogd. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger | Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezengebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar geheime benoemde waarden uit Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| API Management-service moet een SKU gebruiken die virtuele netwerken ondersteunt | Met ondersteunde SKU's van API Management ontgrendelt het implementeren van de service in een virtueel netwerk geavanceerde API Management-netwerkfuncties en beveiligingsfuncties die u meer controle bieden over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://aka.ms/apimvnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network-implementatie biedt verbeterde beveiliging, isolatie en stelt u in staat om uw API Management-service te plaatsen in een niet-internetrouteerbaar netwerk waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API Management moet zijn uitgeschakeld voor gebruikersnaam en wachtwoordverificatie | Als u de ontwikkelaarsportal beter wilt beveiligen, moeten gebruikersnaam en wachtwoordverificatie in API Management worden uitgeschakeld. Configureer gebruikersverificatie via Azure AD of Azure AD B2C-id-providers en schakel de standaardgebruikers- en wachtwoordverificatie uit. | Controle, uitgeschakeld | 1.0.1 |
| API Management-abonnementen mogen niet worden beperkt tot alle API's | API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
| Azure API Management-platformversie moet stv2 zijn | De versie van het Azure API Management stv1-rekenplatform wordt vanaf 31 augustus 2024 buiten gebruik gesteld en deze exemplaren moeten worden gemigreerd naar het stv2-rekenplatform voor continue ondersteuning. Meer informatie vindt u op https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| API Management-services configureren om toegang tot configuratie-eindpunten voor openbare API Management-services uit te schakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| API Management wijzigen om gebruikersnaam- en wachtwoordverificatie uit te schakelen | Als u gebruikersaccounts van de ontwikkelaarsportal en hun referenties beter wilt beveiligen, configureert u gebruikersverificatie via Azure AD- of Azure AD B2C-id-providers en schakelt u de standaardgebruikers- en wachtwoordverificatie uit. | Wijzigen | 1.1.0 |
App-configuratie
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Configuration moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor App Configuration moet een sleutel worden gebruikt die door de klant wordt beheerd | Door de klant beheerde sleutels bieden verbeterde gegevensbescherming, omdat u uw versleutelingssleutels kunt beheren. Dit is vaak nodig om aan de nalevingsvereisten te voldoen. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| App Configuration moet een SKU gebruiken die ondersteuning biedt voor private link | Wanneer u een ondersteunde SKU gebruikt, kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| App Configuration-stores moeten lokale verificatiemethoden hebben uitgeschakeld | Door lokale verificatiemethoden uit te schakelen, wordt de beveiliging verbeterd door ervoor te zorgen dat App Configuration-archieven uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2161954. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| App Configuration-archieven configureren om lokale verificatiemethoden uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw App Configuration-archieven uitsluitend Microsoft Entra-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2161954. | Wijzigen, uitgeschakeld | 1.0.1 |
| App Configuration configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor App Configuration uit, zodat deze niet toegankelijk is via het openbare internet. Met deze configuratie kunt u deze beschermen tegen risico's voor gegevenslekken. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-DNS-zones configureren voor privé-eindpunten die zijn verbonden met App Configuration | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone kan worden gekoppeld aan uw virtuele netwerk om app-configuratie-exemplaren op te lossen. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Privé-eindpunten configureren voor App Configuration | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw app-configuratie-exemplaren, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
App-platform
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Spring Cloud-exemplaren controleren waarvoor gedistribueerde tracering niet is ingeschakeld | Met gedistribueerde traceringshulpprogramma's in Azure Spring Cloud worden foutopsporing en controle van de complexe verbindingen mogelijk tussen microservices in een toepassing. Gedistribueerde traceringshulpprogramma's moeten zijn ingeschakeld en goed werken. | Controle, uitgeschakeld | 1.0.0-preview |
| Azure Spring Cloud moet netwerkinjectie gebruiken | Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Azure Spring Cloud isoleren van internet. 2. Azure Spring Cloud-interactie met systemen inschakelen in on-premises datacentrums of Azure-services in andere virtuele netwerken. 3. Klanten in staat stellen de binnenkomende en uitgaande netwerkcommunicatie voor Azure Spring Cloud te beheren. | Controleren, uitgeschakeld, weigeren | 1.2.0 |
App Service
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-app-sites moeten worden geïnjecteerd in een virtueel netwerk | Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| App Service-app-sites moeten configuratieroutering naar Azure Virtual Network inschakelen | Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen | Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-app-sites moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| App Service-app-sites moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| App Service-app-sites moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites mogen niet zijn geconfigureerd voor CORS, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| App Service-app-sites mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten worden geïnjecteerd in een virtueel netwerk | Het injecteren van App Service-apps in een virtueel netwerk ontgrendelt geavanceerde App Service-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkbeveiligingsconfiguratie. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| App Service-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de App Service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een App Service beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
| App Service-apps moeten configuratieroutering naar Azure Virtual Network inschakelen | Standaard wordt app-configuratie, zoals het ophalen van containerinstallatiekopieën en het koppelen van inhoudsopslag, niet gerouteerd via de integratie van het regionale virtuele netwerk. Met behulp van de API kunt u routeringsopties instellen op true, waardoor configuratieverkeer via het virtuele Azure-netwerk wordt ingeschakeld. Met deze instellingen kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt en service-eindpunten privé zijn. U vindt meer informatie op https://aka.ms/appservice-vnet-configuration-routing. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| App Service-apps moeten uitgaand niet-RFC 1918-verkeer naar Azure Virtual Network inschakelen | Als er standaard regionale Azure Virtual Network-integratie (VNET) wordt gebruikt, routeert de app alleen RFC1918 verkeer naar dat respectieve virtuele netwerk. Als u de API gebruikt om 'vnetRouteAllEnabled' in te stellen op true, wordt al het uitgaande verkeer naar het virtuele Azure-netwerk ingeschakeld. Met deze instelling kunnen functies zoals netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes worden gebruikt voor al het uitgaande verkeer van de App Service-app. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| App Service-apps moeten verificatie hebben ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken of die tokens hebben voordat ze de web-app bereiken. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor FTP-implementaties | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-apps moeten lokale verificatiemethoden hebben uitgeschakeld voor SCM-site-implementaties | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten een SKU gebruiken die ondersteuning biedt voor private link | Met ondersteunde SKU's kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan apps, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/private-link. | Controleren, Weigeren, Uitgeschakeld | 4.1.0 |
| App Service-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een app moet zich op een Azure-bestandsshare bevinden. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 3.0.0 |
| App Service-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan App Service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/private-link. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| App Service-apps die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| App Service-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| App Service Environment-apps mogen niet bereikbaar zijn via openbaar internet | Om ervoor te zorgen dat apps die zijn geïmplementeerd in een App Service Environment niet toegankelijk zijn via openbaar internet, moet u App Service Environment implementeren met een IP-adres in het virtuele netwerk. Als u het IP-adres wilt instellen op een IP van een virtueel netwerk, moet de App Service-omgeving worden geïmplementeerd met een interne load balancer. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| App Service Environment moet worden geconfigureerd met sterkste TLS-coderingssuites | De twee meest minimale en sterkste coderingssuites die nodig zijn om App Service Environment correct te laten functioneren, zijn: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 en TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Controle, uitgeschakeld | 1.0.0 |
| App Service Environment moet worden ingericht met de nieuwste versies | Alleen toestaan dat App Service Environment versie 2 of versie 3 wordt ingericht. Oudere versies van App Service Environment vereisen handmatig beheer van Azure-resources en hebben grotere schaalbeperkingen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor App Service Environment moet interne versleuteling zijn ingeschakeld | Als u InternalEncryption instelt op true, worden het paginabestand, werkschijven en intern netwerkverkeer tussen de front-ends en werkrollen in een App Service-omgeving versleuteld. Raadpleeg voor https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptionmeer informatie. | Controle, uitgeschakeld | 1.0.1 |
| App Service Environment moet TLS 1.0 en 1.1 hebben uitgeschakeld | TLS 1.0 en 1.1 zijn verouderde protocollen die geen ondersteuning bieden voor moderne cryptografische algoritmen. Door binnenkomend TLS 1.0- en 1.1-verkeer uit te schakelen, kunt u apps in een App Service-omgeving beveiligen. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| App Service-app-sites configureren om lokale verificatie voor FTP-implementaties uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-app-sites configureren om lokale verificatie voor SCM-sites uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Service-sites uitsluitend Microsoft Entra-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-app-sites configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
| App Service-app-sites configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
| App Service-app-sites configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| App Service-app-sites configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| App Service-apps configureren om lokale verificatie voor FTP-implementaties uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor FTP-implementaties verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-apps configureren om lokale verificatie voor SCM-sites uit te schakelen | Het uitschakelen van lokale verificatiemethoden voor SCM-sites verbetert de beveiliging door ervoor te zorgen dat App Services uitsluitend Microsoft Entra-identiteiten vereist voor verificatie. Zie voor meer informatie: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, uitgeschakeld | 1.0.3 |
| App Service-apps configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw App Services uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
| App Service-apps configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
| App Service-apps configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone koppelt een virtueel netwerk aan een App Service. Zie voor meer informatie: https://docs.microsoft.com/azure/app-service/networking/private-endpoint#dns. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| App Service-apps configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Functie-app-sites configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
| Functie-app-sites configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
| Functie-app-sites configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een functie-app. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Functie-app-sites configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Functie-apps configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Functie-apps uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Wijzigen, uitgeschakeld | 1.1.0 |
| Functie-apps configureren om alleen toegankelijk te zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Wijzigen, uitgeschakeld | 2.0.0 |
| Functie-apps configureren om externe foutopsporing uit te schakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps configureren voor het gebruik van de nieuwste TLS-versie | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Sites voor functie-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Voor functie-app-sites moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Sites voor functie-apps moeten externe foutopsporing zijn uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| CorS-sites voor functie-apps mogen niet zodanig zijn geconfigureerd dat elke resource toegang heeft tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Sites voor functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Voor functie-app-sites is alleen FTPS vereist | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Sites voor functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 1.0.0 |
| Sites voor functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Sites voor functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de functie-app niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van een functie-app beperken. Zie voor meer informatie: https://aka.ms/app-service-private-endpoint. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Voor functie-apps moet verificatie zijn ingeschakeld | Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de functie-app bereiken of die tokens hebben voordat ze de Functie-app bereiken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.0.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten een Azure-bestandsshare gebruiken voor de inhoudsmap | De inhoudsmap van een functie-app moet zich bevinden op een Azure-bestandsshare. De opslagaccountgegevens voor de bestandsshare moeten worden opgegeven voordat er publicatieactiviteiten worden uitgevoerd. Raadpleeg https://go.microsoft.com/fwlink/?linkid=2151594voor meer informatie over het gebruik van Azure Files voor het hosten van app-service-inhoud. | Controle, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste HTTP-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Functie-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Functie-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken | Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
Attest
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Attestation-providers moeten openbare netwerktoegang uitschakelen | Om de beveiliging van Azure Attestation Service te verbeteren, moet u ervoor zorgen dat deze niet beschikbaar is voor het openbare internet en alleen toegankelijk is vanaf een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in aka.ms/azureattestation. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Attestation-providers moeten privé-eindpunten gebruiken | Privé-eindpunten bieden een manier om Azure Attestation-providers te verbinden met uw Azure-resources zonder verkeer via het openbare internet te verzenden. Door openbare toegang te voorkomen, helpen privé-eindpunten u te beschermen tegen ongewenste anonieme toegang. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Automanage
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Er moet een beheerde identiteit zijn ingeschakeld op uw computers | Resources die worden beheerd door Automanage moeten een beheerde identiteit hebben. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Toewijzing van automatisch beheerprofiel moet conform zijn | Resources die worden beheerd door Automanage moeten de status Conformant of ConformantCorrected hebben. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Diagnostische gegevens over opstarten moeten zijn ingeschakeld op virtuele machines | Virtuele Azure-machines moeten opstartdiagniostiek hebben ingeschakeld. | Controle, uitgeschakeld | 1.0.0-preview |
| Virtuele machines configureren voor onboarding naar Azure Automanage | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage op uw geselecteerde bereik toe te passen. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.4.0 |
| Virtuele machines configureren voor onboarding naar Azure Automanage met aangepast configuratieprofiel | Azure Automanage registreert, configureert en bewaakt virtuele machines met aanbevolen procedures zoals gedefinieerd in het Microsoft Cloud Adoption Framework voor Azure. Gebruik dit beleid om Automanage toe te passen met uw eigen aangepaste configuratieprofiel op uw geselecteerde bereik. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.4.0 |
| Hotpatch moet zijn ingeschakeld voor virtuele Windows Server Azure Edition-machines | Minimaliseer opnieuw opstarten en installeer updates snel met hotpatch. Meer informatie vindt u op https://docs.microsoft.com/azure/automanage/automanage-hotpatch | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Automation
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Automation-account moet een beheerde identiteit hebben | Gebruik beheerde identiteiten als de aanbevolen methode voor verificatie met Azure-resources vanuit de runbooks. Beheerde identiteit voor verificatie is veiliger en elimineert de beheeroverhead die is gekoppeld aan het gebruik van een RunAs-account in uw runbookcode. | Controle, uitgeschakeld | 1.0.0 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Automation-accounts moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw Automation-accountbronnen beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://docs.microsoft.com/azure/automation/how-to/private-link-security. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor het Azure Automation-account moet de lokale verificatiemethode zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Automation-accounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Automation-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling at rest van uw Azure Automation-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/automation-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Automation-account configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat uw Azure Automation-accounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Automation-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor een Azure Automation-account uit, zodat het niet toegankelijk is via het openbare internet. Met deze configuratie kunt u deze beschermen tegen risico's voor gegevenslekken. U kunt de blootstelling van uw Automation-accountbronnen beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Automation-accounts configureren met privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. U hebt een privé-DNS-zone nodig die juist is geconfigureerd om verbinding te maken met het Azure Automation-account via Azure Private Link. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen configureren in Azure Automation-accounts | Privé-eindpuntverbindingen maken beveiligde communicatie mogelijk door privéconnectiviteit met Azure Automation-accounts in te schakelen zonder dat openbare IP-adressen nodig zijn bij de bron of bestemming. Meer informatie over privé-eindpunten in Azure Automation vindt u op https://docs.microsoft.com/azure/automation/how-to/private-link-security. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen voor Automation-accounts moeten zijn ingeschakeld | Met privé-eindpuntverbindingen kunt u beveiligde communicatie mogelijk maken door privéconnectiviteit met Automation-accounts in te schakelen zonder dat openbare IP-adressen bij de bron of bestemming nodig zijn. Meer informatie over privé-eindpunten in Azure Automation vindt u op https://docs.microsoft.com/azure/automation/how-to/private-link-security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Active Directory
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Beheerde domeinen van Azure Active Directory-domein Services moeten alleen de modus TLS 1.2 gebruiken | Gebruik alleen de modus TLS 1.2 voor uw beheerde domeinen. Azure AD Domain Services maakt standaard het gebruik van coderingen mogelijk, zoals NTLM v1 en TLS v1. Deze coderingen zijn mogelijk vereist voor sommige oudere toepassingen, maar worden als zwak beschouwd en kunnen worden uitgeschakeld als u ze niet nodig hebt. Wanneer alleen de TLS 1.2-modus is ingeschakeld, mislukt elke client die een aanvraag indient die geen TLS 1.2 gebruikt. Meer informatie op https://docs.microsoft.com/azure/active-directory-domain-services/secure-your-domain. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Azure AI Services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Azure AI Services-resources configureren om toegang tot lokale sleutels uit te schakelen (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure AI Services-resources configureren om toegang tot lokale sleutels uit te schakelen (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, meestal gebruikt in ontwikkeling/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische logboeken in Azure AI-services-resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services-resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Azure Arc
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Uitgebreide beveiligingsupdates (EES's) licentie maken of wijzigen weigeren. | Met dit beleid kunt u het maken of wijzigen van ESU-licenties voor Windows Server 2012 Arc-machines beperken. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Schakel de licentie voor uitgebreide beveiligingsupdates (EKU's) in om Windows 2012-machines te beschermen nadat hun ondersteuningslevenscyclus is beëindigd. | Schakel de licentie voor uitgebreide beveiligingsupdates (ESU's) in om Windows 2012-machines beveiligd te houden, zelfs nadat hun ondersteuningslevenscyclus is beëindigd. Meer informatie over het voorbereiden van uitgebreide beveiligingsupdates voor Windows Server 2012 via AzureArc https://learn.microsoft.com/en-us/azure/azure-arc/servers/prepare-extended-security-updates. Ga naar voor meer informatie over prijzen https://aka.ms/ArcWS2012ESUPricing | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Azure Arc Private Link-bereiken moeten worden geconfigureerd met een privé-eindpunt | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Arc Private Link-bereiken, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Bereiken van Azure Arc Private Link moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat Azure Arc-resources geen verbinding kunnen maken via het openbare internet. Het maken van privé-eindpunten kan de blootstelling van Azure Arc-resources beperken. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters met Azure Arc moeten worden geconfigureerd met een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Servers met Azure Arc moeten worden geconfigureerd met een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Arc Private Link-bereiken configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Arc Private Link-bereik uit, zodat gekoppelde Azure Arc-resources geen verbinding kunnen maken met Azure Arc-services via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Arc Private Link-bereiken configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Arc Private Link-bereiken. Zie voor meer informatie: https://aka.ms/arc/privatelink. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Azure Arc Private Link-bereiken configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan Azure Arc Private Link-bereiken, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Kubernetes-clusters met Azure Arc configureren voor het gebruik van een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Servers met Azure Arc configureren voor het gebruik van een Azure Arc Private Link-bereik | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door servers met Azure Arc toe te staan aan een Azure Arc Private Link-bereik dat is geconfigureerd met een privé-eindpunt, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/arc/privatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
Azure Data Explorer
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle database-Beheer in Azure Data Explorer moeten worden uitgeschakeld | Schakel alle databasebeheerdersrol uit om het verlenen van gebruikersrol met hoge bevoegdheden/beheerdersrechten te beperken. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Data Explorer-cluster moet gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Azure Data Explorer-cluster, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://learn.microsoft.com/en-us/azure/data-explorer/security-network-private-endpoint. | Controle, uitgeschakeld | 1.0.0 |
| Voor Azure Data Explorer-versleuteling at-rest moet een door de klant beheerde sleutel worden gebruikt | Als u versleuteling at rest inschakelt waarbij gebruik wordt gemaakt van een door de klant beheerde sleutel in uw Azure Data Explorer-cluster, hebt u meer controle over de sleutel die wordt gebruikt door de versleuteling at rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten, en vereist een sleutelkluis voor het beheren van de sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Data Explorer moet een SKU gebruiken die ondersteuning biedt voor private link | Met ondersteunde SKU's kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan apps, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Data Explorer-clusters configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan Azure Data Explorer, kunt u risico's voor gegevenslekken verminderen. Meer informatie vindt u op: [ServiceSpecificAKA.ms]. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Data Explorer configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap openbare netwerktoegang uitschakelt, wordt openbare connectiviteit afgesloten, zodat Azure Data Explorer alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de openbare netwerktoegang voor alle Azure Data Explorer-clusters uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Schijfversleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door schijfversleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Dubbele versleuteling moet zijn ingeschakeld voor Azure Data Explorer | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Openbare netwerktoegang in Azure Data Explorer moet worden uitgeschakeld | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat Azure Data Explorer alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtueelnetwerkinjectie moet zijn ingeschakeld voor Azure Data Explorer | Beveilig uw netwerkperimeter met virtueelnetwerkinjectie. Hiermee kunt u groepsregels voor netwerkbeveiliging afdwingen, on-premises verbinden en uw gegevensverbindingsbronnen beveiligen met service-eindpunten. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Databricks
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Databricks-clusters moeten het openbare IP-adres uitschakelen | Als u het openbare IP-adres van clusters uitschakelt in Azure Databricks Workspaces, verbetert u de beveiliging door ervoor te zorgen dat de clusters niet beschikbaar zijn op het openbare internet. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Databricks-werkruimten moeten zich in een virtueel netwerk bevinden | Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Databricks-werkruimten, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Azure Databricks-werkruimten moeten Premium SKU zijn die ondersteuning biedt voor functies zoals private link, door de klant beheerde sleutel voor versleuteling | Sta alleen databricks-werkruimte toe met Premium Sku die uw organisatie kan implementeren ter ondersteuning van functies zoals Private Link, door de klant beheerde sleutel voor versleuteling. Zie voor meer informatie: https://aka.ms/adbpe. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Databricks-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beheren door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Databricks-werkruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Als u privé-eindpunten toewijst aan Azure Databricks-werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/adbpe. | Controle, uitgeschakeld | 1.0.2 |
| Azure Databricks-werkruimte configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Databricks-werkruimten. Zie voor meer informatie: https://aka.ms/adbpe. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Databricks-werkruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Als u privé-eindpunten toewijst aan Azure Databricks-werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/adbpe. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Diagnostische instellingen configureren voor Azure Databricks-werkruimten naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Databricks-werkruimten geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een Azure Databricks-werkruimte waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Resourcelogboeken in Azure Databricks-werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Azure Edge Hardware Center
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor Azure Edge Hardware Center-apparaten moet ondersteuning voor dubbele versleuteling zijn ingeschakeld | Zorg ervoor dat apparaten die zijn besteld vanuit Azure Edge Hardware Center ondersteuning voor dubbele versleuteling hebben ingeschakeld om de data-at-rest op het apparaat te beveiligen. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Azure Load Testing
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Load Testing-resource moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels (CMK) om de versleuteling-at-rest te beheren voor uw Azure Load Testing-resource. Standaard wordt de encryptio uitgevoerd met behulp van door de service beheerde sleutels. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://docs.microsoft.com/azure/load-testing/how-to-configure-customer-managed-keys?tabs=portal. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Azure Purview
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Purview-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Purview-accounts in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/purview-private-link. | Controle, uitgeschakeld | 1.0.0 |
Azure Stack Edge
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Stack Edge-apparaten moeten gebruikmaken van dubbele versleuteling | Als u de data-at-rest op het apparaat wilt beveiligen, zorgt u ervoor dat het apparaat dubbel is versleuteld, dat de toegang tot gegevens wordt beheerd, en dat de gegevens veilig zijn gewist op de gegevensschijven zodra het apparaat is gedeactiveerd. Dubbele versleuteling is het gebruik van twee versleutelingslagen: BitLocker XTS-AES 256-bits versleuteling op de gegevensvolumes en ingebouwde versleuteling van de harde schijven. Meer informatie vindt u in de documentatie met het beveiligingsoverzicht voor het specifieke Stack Edge-apparaat. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Azure Update Manager
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Periodieke controle configureren voor ontbrekende systeemupdates op servers met Azure Arc | Configureer automatische evaluatie (elke 24 uur) voor updates van het besturingssysteem op servers met Azure Arc. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie over dit voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | wijzigen | 2.2.1 |
| Periodieke controle configureren voor ontbrekende systeemupdates op virtuele Azure-machines | Configureer automatische evaluatie (elke 24 uur) voor updates van het besturingssysteem op systeemeigen virtuele Azure-machines. U kunt het toewijzingsbereik beheren op basis van het machineabonnement, de resourcegroep, de locatie of de tag. Meer informatie over dit voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | wijzigen | 4.8.0 |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.7.0 |
| Terugkerende updates plannen met Azure Update Manager | U kunt Azure Update Manager in Azure gebruiken om terugkerende implementatieschema's op te slaan voor het installeren van besturingssysteemupdates voor uw Windows Server- en Linux-machines in Azure, in on-premises omgevingen en in andere cloudomgevingen die zijn verbonden met azure Arc-servers. Met dit beleid wordt ook de patchmodus voor de virtuele Azure-machine gewijzigd in 'AutomaticByPlatform'. Meer informatie: https://aka.ms/umc-scheduled-patching | DeployIfNotExists, uitgeschakeld | 3.10.0 |
Backup
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: De Azure Backup-extensie moet worden geïnstalleerd in AKS-clusters | Zorg ervoor dat de installatie van de back-upextensie in uw AKS-clusters wordt beveiligd om gebruik te maken van Azure Backup. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup moet zijn ingeschakeld voor AKS-clusters | Zorg voor beveiliging van uw AKS-clusters door Azure Backup in te schakelen. Azure Backup voor AKS is een veilige en cloudeigen oplossing voor gegevensbeveiliging voor AKS-clusters. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup moet zijn ingeschakeld voor blobs in opslagaccounts | Zorg voor beveiliging van uw opslagaccounts door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup moet zijn ingeschakeld voor beheerde schijven | Zorg voor beveiliging van uw beheerde schijven door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Backup Vaults moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens. Ook een optie om Infra Encryption af te dwingen. | Dit beleid volgt het 'effect' als versleuteling Instellingen zijn ingeschakeld voor Back-upkluizen in het bereik. Daarnaast kunt u controleren of Backup Vault ook infrastructuurversleuteling heeft ingeschakeld. Meer informatie op https://aka.ms/az-backup-vault-encryption-at-rest-with-cmk. Wanneer het effect Weigeren wordt gebruikt, moet u Versleuteling inschakelen Instellingen op de bestaande Back-upkluizen om andere updatebewerkingen in de kluis door te laten gaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Recovery Services-kluis niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Recovery Services-kluis beperken. Zie voor meer informatie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen moeten door de klant beheerde sleutels gebruiken voor het versleutelen van back-upgegevens | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw back-upgegevens te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/AB-CmkEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen moeten private link gebruiken voor back-up | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Azure Recovery Services-kluizen, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AB-PrivateEndpoints. | Controle, uitgeschakeld | 2.0.0-preview |
| [Preview]: Azure Recovery Services-kluizen configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Recovery Services-kluis uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/AB-PublicNetworkAccess-Deny. | Wijzigen, uitgeschakeld | 1.0.0-preview |
| [Preview]: Back-up configureren voor blobs in opslagaccounts met een bepaalde tag naar een bestaande back-upkluis in dezelfde regio | Dwing back-ups af voor blobs op alle opslagaccounts die een bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Blob-back-up configureren voor alle opslagaccounts die geen bepaalde tag bevatten voor een back-upkluis in dezelfde regio | Dwing back-ups af voor blobs in alle opslagaccounts die geen bepaalde tag bevatten naar een centrale back-upkluis. Dit kan u helpen bij het beheren van back-ups van blobs in meerdere opslagaccounts op schaal. Raadpleeg https://aka.ms/AB-BlobBackupAzPolicies voor meer informatie | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0-preview |
| [Preview]: Recovery Services-kluizen configureren voor het gebruik van privé-DNS-zones voor back-up | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in uw Recovery Services-kluis. Zie voor meer informatie: https://aka.ms/AB-PrivateEndpoints. | DeployIfNotExists, uitgeschakeld | 1.0.1-preview |
| [Preview]: Recovery Services-kluizen configureren voor het gebruik van privé-eindpunten voor back-up | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Recovery Services-kluizen, kunt u risico's voor gegevenslekken verminderen. Houd er rekening mee dat uw kluizen moeten voldoen aan bepaalde vereisten om in aanmerking te komen voor configuratie van privé-eindpunten. Meer informatie vindt u op: https://go.microsoft.com/fwlink/?linkid=2187162. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Herstel tussen abonnementen uitschakelen voor Azure Recovery Services-kluizen | Schakel herstel tussen abonnementen voor uw Recovery Services-kluis uit of permanentdisable, zodat hersteldoelen niet in een ander abonnement kunnen staan dan het kluisabonnement. Zie voor meer informatie: https://aka.ms/csrenhancements. | Wijzigen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Herstel tussen abonnementen uitschakelen voor back-upkluizen | Schakel herstel tussen abonnementen voor uw Back-upkluis uit of permanentdisable, zodat hersteldoelen niet in een ander abonnement kunnen zijn dan het kluisabonnement. Zie voor meer informatie: https://aka.ms/csrstatechange. | Wijzigen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Het maken van Recovery Services-kluizen van gekozen opslagredundantie is niet toegestaan. | Recovery Services-kluizen kunnen momenteel worden gemaakt met een van de drie opties voor opslagredundantie, namelijk lokaal redundante opslag, zone-redundante opslag en geografisch redundante opslag. Als het beleid in uw organisatie vereist dat u het maken van kluizen die deel uitmaken van een bepaald redundantietype, blokkeert, kunt u hetzelfde bereiken met behulp van dit Azure-beleid. | Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Onveranderbaarheid moet zijn ingeschakeld voor back-upkluizen | Met dit beleid wordt gecontroleerd of de onveranderbare kluiseigenschap is ingeschakeld voor Back-upkluizen in het bereik. Zo kunt u voorkomen dat uw back-upgegevens worden verwijderd voordat de beoogde vervaldatum is verstreken. Meer informatie op https://aka.ms/AB-ImmutableVaults. | Controle, uitgeschakeld | 1.0.1-preview |
| [Preview]: Onveranderbaarheid moet zijn ingeschakeld voor Recovery Services-kluizen | Met dit beleid wordt gecontroleerd of de onveranderbare kluiseigenschap is ingeschakeld voor Recovery Services-kluizen in het bereik. Zo kunt u voorkomen dat uw back-upgegevens worden verwijderd voordat de beoogde vervaldatum is verstreken. Meer informatie op https://aka.ms/AB-ImmutableVaults. | Controle, uitgeschakeld | 1.0.1-preview |
| [Preview]: MUA (Multi-User Authorization) moet zijn ingeschakeld voor Back-upkluizen. | Dit beleid controleert of MUA (Multi-User Authorization) is ingeschakeld voor Back-upkluizen. MUA helpt bij het beveiligen van uw Back-upkluizen door een extra beveiligingslaag toe te voegen aan kritieke bewerkingen. Ga voor meer informatie naar https://aka.ms/mua-for-bv. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: MUA (Multi-User Authorization) moet zijn ingeschakeld voor Recovery Services-kluizen. | Dit beleid controleert of MUA (Multi-User Authorization) is ingeschakeld voor Recovery Services-kluizen. MUA helpt bij het beveiligen van uw Recovery Services-kluizen door een extra beveiligingslaag toe te voegen aan kritieke bewerkingen. Ga voor meer informatie naar https://aka.ms/MUAforRSV. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Voorlopig verwijderen moet zijn ingeschakeld voor Recovery Services-kluizen. | Met dit beleid wordt gecontroleerd of voorlopig verwijderen is ingeschakeld voor Recovery Services-kluizen in het bereik. Met voorlopig verwijderen kunt u uw gegevens herstellen, zelfs nadat deze zijn verwijderd. Meer informatie op https://aka.ms/AB-SoftDelete. | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Voorlopig verwijderen moet zijn ingeschakeld voor Back-upkluizen | Met dit beleid wordt gecontroleerd of voorlopig verwijderen is ingeschakeld voor Back-upkluizen in het bereik. Met voorlopig verwijderen kunt u uw gegevens herstellen nadat deze zijn verwijderd. Meer informatie vindt u op https://aka.ms/AB-SoftDelete | Controle, uitgeschakeld | 1.0.0-preview |
| Azure Backup moet zijn ingeschakeld voor virtuele machines | Zorg ervoor dat uw virtuele Azure-machines worden beveiligd door Azure Backup in te schakelen. Azure Backup is een veilige en voordelige oplossing voor gegevensbescherming voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines met een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag toe te voegen om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupIncludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een nieuwe Recovery Services-kluis met een standaardbeleid | Dwing het maken van een back-up af voor alle virtuele machines door een Recovery Services-kluis te implementeren op dezelfde locatie en in dezelfde resourcegroep als de virtuele machine. Dit is handig wanneer er aan verschillende toepassingsteams in uw organisatie afzonderlijke resourcegroepen zijn toegewezen die elk hun eigen back-up- en herstelbewerkingen moeten kunnen beheren. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMAppCentricBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Back-up configureren op virtuele machines zonder een bepaalde tag naar een bestaande Recovery Services-kluis op dezelfde locatie | Dwing het maken van een back-up af voor alle virtuele machines door deze back-up uit te voeren naar een Recovery Services-kluis op dezelfde locatie en in hetzelfde abonnement als de virtuele machine. Dit is handig wanneer een centraal team in uw organisatie back-ups beheert voor alle resources in een abonnement. U kunt ervoor kiezen om virtuele machines met een opgegeven tag uit te sluiten om zo het toewijzingsbereik te bepalen. Zie https://aka.ms/AzureVMCentralBackupExcludeTag. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 9.2.0 |
| Diagnostische instellingen voor Recovery Services-kluis implementeren in Log Analytics-werkruimten voor resource-specifieke categorieën. | Diagnostische instellingen voor Recovery Services-kluis implementeren om te streamen naar Log Analytics-werkruimten voor resource-specifieke categorieën. Als een van de resource-specifieke categorieën niet is ingeschakeld, wordt er een nieuwe diagnostische instelling gemaakt. | deployIfNotExists | 1.0.2 |
Batch
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor het Azure Batch-account moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels om de versleuteling at rest van de gegevens van uw Batch-account te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/Batch-CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Batch-pools moeten schijfversleuteling hebben ingeschakeld | Als u Azure Batch-schijfversleuteling inschakelt, zorgt u ervoor dat gegevens altijd in rust worden versleuteld op uw Azure Batch-rekenknooppunt. Meer informatie over schijfversleuteling in Batch vindt u op https://docs.microsoft.com/azure/batch/disk-encryption. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Batch-accounts moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Batch-accounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/batch/auth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Batch-accounts configureren om lokale verificatie uit te schakelen | Schakel locatieverificatiemethoden uit, zodat voor uw Batch-accounts uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/batch/auth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Batch-accounts configureren om openbare netwerktoegang uit te schakelen | Het uitschakelen van openbare netwerktoegang in een Batch-account verbetert de beveiliging door ervoor te zorgen dat uw Batch-account alleen toegankelijk is vanaf een privé-eindpunt. Meer informatie over het uitschakelen van openbare netwerktoegang op https://docs.microsoft.com/azure/batch/private-connectivity. | Wijzigen, uitgeschakeld | 1.0.0 |
| Batch-accounts met privé-eindpunten configureren | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Als u privé-eindpunten toewijst aan Batch-accounts, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Privé-DNS-zones configureren voor privé-eindpunten die verbinding maken met Batch-accounts | Privé-DNS records privéverbindingen met privé-eindpunten toestaan. Privé-eindpuntverbindingen maken beveiligde communicatie mogelijk door privéconnectiviteit met Batch-accounts in te schakelen zonder dat openbare IP-adressen nodig zijn bij de bron of bestemming. Zie voor meer informatie over privé-eindpunten en DNS-zones in Batch https://docs.microsoft.com/azure/batch/private-connectivity. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Waarschuwingsregels voor metrische gegevens moeten worden geconfigureerd voor Batch-accounts | Configuratie van metrische waarschuwingsregels in Batch-accounts controleren om de vereiste metrische gegevens in te schakelen | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Privé-eindpuntverbindingen voor Batch-accounts moeten zijn ingeschakeld | Privé-eindpuntverbindingen maken beveiligde communicatie mogelijk door privéconnectiviteit met Batch-accounts in te schakelen zonder dat openbare IP-adressen nodig zijn bij de bron of bestemming. Meer informatie over privé-eindpunten in Batch vindt u op https://docs.microsoft.com/azure/batch/private-connectivity. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor Batch-accounts | Het uitschakelen van openbare netwerktoegang in een Batch-account verbetert de beveiliging door ervoor te zorgen dat uw Batch-account alleen toegankelijk is vanaf een privé-eindpunt. Meer informatie over het uitschakelen van openbare netwerktoegang op https://docs.microsoft.com/azure/batch/private-connectivity. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Bot-service
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Bot-service-eindpunt moet een geldige HTTPS-URI zijn | Tijdens het verzenden kunnen gegevens onrechtmatig worden gewijzigd. Er bestaan protocollen die versleuteling bieden om problemen met misbruik en manipulatie van gegevens te voorkomen. Om ervoor te zorgen dat uw bots alleen communiceren via versleutelde kanalen, stelt u het eindpunt in op een geldige HTTPS-URI. Dit zorgt ervoor dat het HTTPS-protocol wordt gebruikt voor het versleutelen van uw data-in-transit, en is ook een vereiste voor naleving met regelgeving of industriestandaarden. Ga naar: https://docs.microsoft.com/azure/bot-service/bot-builder-security-guidelines. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Bot Service moet worden versleuteld met een door de klant beheerde sleutel | Azure Bot Service versleutelt uw resource automatisch om uw gegevens te beschermen en te voldoen aan de beveiligings- en nalevingsverplichtingen van de organisatie. Standaard worden door Microsoft beheerde versleutelingssleutels gebruikt. Voor meer flexibiliteit bij het beheren van sleutels of het beheren van de toegang tot uw abonnement, selecteert u door de klant beheerde sleutels, ook wel bring your own key (BYOK) genoemd. Meer informatie over Azure Bot Service-versleuteling: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Bot Service moet de geïsoleerde modus hebben ingeschakeld | Bots moeten worden ingesteld op de modus Alleen geïsoleerd. Met deze instelling configureert u Bot Service-kanalen waarvoor verkeer via het openbare internet moet worden uitgeschakeld. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Bot Service moet lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat een bot uitsluitend AAD gebruikt voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bot Service moet openbare netwerktoegang hebben uitgeschakeld | Bots moeten worden ingesteld op de modus Alleen geïsoleerd. Met deze instelling configureert u Bot Service-kanalen waarvoor verkeer via het openbare internet moet worden uitgeschakeld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| BotService-resources moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw BotService-resource, worden risico's voor gegevenslekken verminderd. | Controle, uitgeschakeld | 1.0.0 |
| BotService-resources configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in botservice-gerelateerde resources. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| BotService-resources configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw BotService-resource, kunt u risico's voor gegevenslekken verminderen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Cache
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Cache voor Redis moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Azure Cache voor Redis niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw Azure Cache voor Redis beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cache voor Redis configureren om niet-SSL-poorten uit te schakelen | Schakel alleen SSL-verbindingen met Azure Cache voor Redis in. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cache voor Redis configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Cache voor Redis-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit helpt de cache te beschermen tegen gegevenslekken. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cache voor Redis configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone kan worden gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Cache voor Redis. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cache voor Redis configureren met privé-eindpunten | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis resources, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/redis/privateendpoint. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Alleen beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Inschakeling van alleen verbindingen via SSL met Azure Cache voor Redis controleren. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
CDN
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Front Door-profielen moeten gebruikmaken van de Premium-laag die beheerde WAF-regels en private link ondersteunt | Azure Front Door Premium ondersteunt door Azure beheerde WAF-regels en private link naar ondersteunde Azure-origins. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Front Door Standard en Premium moeten minimaal TLS-versie 1.2 uitvoeren | Als u een minimale TLS-versie instelt op 1.2, wordt de beveiliging verbeterd door ervoor te zorgen dat uw aangepaste domeinen toegankelijk zijn vanaf clients die TLS 1.2 of hoger gebruiken. Het gebruik van versies van TLS kleiner dan 1.2 wordt niet aanbevolen omdat ze zwak zijn en geen ondersteuning bieden voor moderne cryptografische algoritmen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Privéconnectiviteit tussen Azure Front Door Premium en Azure Storage Blob of Azure-app Service beveiligen | Private Link zorgt voor privéconnectiviteit tussen AFD Premium en Azure Storage Blob of Azure-app Service via het Backbone-netwerk van Azure, zonder dat de Azure Storage-blob of de Azure-app-service openbaar wordt blootgesteld aan internet. | Controle, uitgeschakeld | 1.0.0 |
ChangeTrackingAndInventory
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Linux Arc-machines configureren die zijn gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux Arc-machines configureren om AMA te installeren voor ChangeTracking en Inventory | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Linux Arc-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| [Preview]: Virtuele Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele Linux-machines configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0-preview |
| [Preview]: Linux VMSS configureren om te worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux VMSS configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| [Preview]: Windows Arc-machines configureren die zijn gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om Windows Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows Arc-machines configureren om AMA te installeren voor ChangeTracking en Inventory | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Windows Arc-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele Windows-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling voor ChangeTracking en Inventory | Implementeer koppeling om virtuele Windows-machines te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows-VM's configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows VMSS configureren om te worden gekoppeld aan een gegevensverzamelingsregel voor ChangeTracking en Inventory | Implementeer koppeling om virtuele-machineschaalsets van Windows te koppelen aan de opgegeven regel voor gegevensverzameling om ChangeTracking en Inventory in te schakelen. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows VMSS configureren om AMA te installeren voor ChangeTracking en Inventory met door de gebruiker toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het inschakelen van ChangeTracking en Inventory. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
Cognitive Services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Cognitive Services-accounts moeten gegevensversleuteling inschakelen met een door de klant beheerde sleutel | Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens die zijn opgeslagen in Cognitive Services worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over door de klant beheerde sleutels vindt u op https://go.microsoft.com/fwlink/?linkid=2121321. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Cognitive Services-accounts moeten een beheerde identiteit gebruiken | Door een beheerde identiteit toe te wijzen aan uw Cognitive Service-account, zorgt u voor veilige verificatie. Deze identiteit wordt door dit Cognitive Service-account gebruikt om op een veilige manier te communiceren met andere Azure-services, zoals Azure Key Vault, zonder dat u referenties hoeft te beheren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Cognitive Services-accounts moet opslag van de klant worden gebruikt | Gebruik opslag in eigendom van de klant om de gegevens te beheren die in rust zijn opgeslagen in Cognitive Services. Ga naar https://aka.ms/cogsvc-cmkvoor meer informatie over opslag in eigendom van de klant. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Cognitive Services moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | Controle, uitgeschakeld | 3.0.0 |
| Cognitive Services-accounts configureren om lokale verificatiemethoden uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Cognitive Services-accounts uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/cs/auth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Cognitive Services-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2129800. | Uitgeschakeld, Wijzigen | 3.0.0 |
| Cognitive Services-accounts configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Cognitive Services-accounts. Zie voor meer informatie: https://go.microsoft.com/fwlink/?linkid=2110097. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Cognitive Services-accounts configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Cognitive Services, vermindert u het risico op gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://go.microsoft.com/fwlink/?linkid=2129800. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
Communicatie
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Communication Service-resource moet een beheerde identiteit gebruiken | Door een beheerde identiteit toe te wijzen aan uw Communication Service-resource, zorgt u voor veilige verificatie. Deze identiteit wordt door deze Communication Service-resource gebruikt om op een veilige manier te communiceren met andere Azure-services, zoals Azure Storage, zonder dat u referenties hoeft te beheren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De communicatieserviceresource moet de vermelde gegevenslocatie toestaan | Maak alleen een Communication Service-resource op basis van een toegestane gegevenslocatie. Deze gegevenslocatie bepaalt waar de gegevens van de communicatieserviceresource in rust worden opgeslagen, zodat uw voorkeur vermelde gegevenslocaties niet kunnen worden gewijzigd nadat de resource is gemaakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Compute
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Toegestane SKU's voor de grootte van virtuele machines | Met dit beleid kunt u een set SKU's voor grootten van virtuele machines opgeven die uw organisatie mag implementeren. | Weigeren | 1.0.1 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Controleer virtuele machines die niet gebruikmaken van beheerde schijven | Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven | controleren | 1.0.0 |
| Herstel na noodgevallen configureren op virtuele machines door replicatie in te schakelen via Azure Site Recovery | Virtuele machines zonder configuraties voor herstel na noodgevallen zijn kwetsbaar voor storingen en andere onderbrekingen. Als de virtuele machine nog niet is geconfigureerd voor herstel na noodgevallen, zou dit hetzelfde initiëren door replicatie in te schakelen met vooraf ingestelde configuraties om bedrijfscontinuïteit te vergemakkelijken. U kunt eventueel virtuele machines met een opgegeven tag opnemen/uitsluiten om het toewijzingsbereik te bepalen. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Toegangsbronnen voor schijven configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet naar een beheerde schijf. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Resources voor schijftoegang configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan resources voor schijftoegang, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Beheerde schijven configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw beheerde schijfresource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Wijzigen, uitgeschakeld | 2.0.0 |
| Microsoft IaaSAntimalware-standaarduitbreiding voor Windows Server implementeren | Met dit beleid wordt een Microsoft IaaSAntimalware-uitbreiding met een standaardconfiguratie geïmplementeerd wanneer een VM niet is geconfigureerd met de antimalware-uitbreiding. | deployIfNotExists | 1.1.0 |
| Resources voor schijftoegang moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan diskAccesses, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/disksprivatelinksdoc. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels | Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beheerde schijven moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat een beheerde schijf niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van beheerde schijven beperken. Zie voor meer informatie: https://aka.ms/disksprivatelinksdoc. | Controle, uitgeschakeld | 2.0.0 |
| Beheerde schijven moeten een specifieke set schijfversleutelingssets gebruiken voor de door de klant beheerde sleutelversleuteling | Als u een specifieke set schijfversleutelingssets wilt gebruiken met beheerde schijven, hebt u controle over de sleutels die worden gebruikt voor versleuteling-at-rest. U kunt de toegestane versleutelde sets selecteren en alle andere worden geweigerd wanneer ze zijn gekoppeld aan een schijf. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Microsoft Antimalware voor Azure moet zijn geconfigureerd voor het automatisch bijwerken van beveiligingsdefinities | Met dit beleid wordt elke Windows-VM gecontroleerd waarvoor het automatisch bijwerken van Microsoft Antimalware-beveiligingsdefinities niet is geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft IaaSAntimalware-uitbreiding moet zijn geïmplementeerd op Windows-servers | Met dit beleid wordt elke Windows Server-VM gecontroleerd waarvoor de Microsoft IaaSAntimalware-uitbreiding niet is geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd | Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Besturingssysteem- en gegevensschijven moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de inhoud van uw beheerde schijven te beheren. Standaard worden de gegevens in rust versleuteld met door het platform beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan wettelijke nalevingsstandaarden. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/disks-cmk. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Beveilig uw gegevens met verificatievereisten bij het exporteren of uploaden naar een schijf of momentopname. | Wanneer de URL voor exporteren/uploaden wordt gebruikt, controleert het systeem of de gebruiker een identiteit heeft in Azure Active Directory en de benodigde machtigingen heeft om de gegevens te exporteren/uploaden. Raadpleeg aka.ms/DisksAzureADAuth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Automatische patching van installatiekopieën van het besturingssysteem op virtuele-machineschaalsets vereisen | Met dit beleid wordt het automatisch inschakelen van het patchen van installatiekopieën van het besturingssysteem op virtuele-machineschaalsets afgedwongen om virtuele machines altijd veilig te houden door elke maand de nieuwste beveiligingspatches toe te passen. | deny | 1.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele machines moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw virtuele machines, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure Active Directory en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Container Apps
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Verificatie moet zijn ingeschakeld voor Container Apps | Container Apps-verificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de container-app bereiken of die tokens hebben voordat ze de container-app bereiken | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Container App-omgevingen moeten gebruikmaken van netwerkinjectie | Container Apps-omgevingen moeten gebruikmaken van virtuele netwerkinjectie om: 1.Isolate Container Apps from the public internet 2.Enable network integration with resources on-premises or in other Azure virtual networks 3.Achieve more granular control over network traffic flowing to and from the environment. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| Container-app moet worden geconfigureerd met volumekoppeling | Dwing het gebruik van volumekoppelingen voor Container Apps af om de beschikbaarheid van permanente opslagcapaciteit te garanderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Container Apps-omgeving moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang uit om de beveiliging te verbeteren door de Container Apps-omgeving beschikbaar te maken via een interne load balancer. Hiermee wordt de noodzaak van een openbaar IP-adres verwijderd en wordt internettoegang tot alle Container Apps in de omgeving voorkomen. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Container Apps moet externe netwerktoegang uitschakelen | Schakel externe netwerktoegang tot uw Container Apps uit door inkomend verkeer alleen intern af te dwingen. Dit zorgt ervoor dat binnenkomende communicatie voor Container Apps is beperkt tot bellers in de Container Apps-omgeving. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Container Apps mag alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Als u allowInsecure uitschakelt, worden aanvragen van HTTP-naar-HTTPS-verbindingen voor container-apps automatisch omgeleid. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Beheerde identiteit moet zijn ingeschakeld voor Container Apps | Het afdwingen van beheerde identiteit zorgt ervoor dat Container Apps veilig kan worden geverifieerd bij elke resource die Ondersteuning biedt voor Azure AD-verificatie | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Container-exemplaar
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Container Instance-containergroep moet worden geïmplementeerd in een virtueel netwerk | Beveilig de communicatie tussen uw containers met Azure Virtual Networks. Wanneer u een virtueel netwerk opgeeft, kunnen resources binnen het virtuele netwerk veilig en privé met elkaar communiceren. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Azure Container Instance-containergroep moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw containers met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Diagnostische instellingen configureren voor containergroepen naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Container Instance geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een containerinstantie waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
Container Instances
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Diagnostische gegevens configureren voor containergroep naar Log Analytics-werkruimte | Hiermee voegt u de opgegeven Log Analytics WorkspaceId en workspaceKey toe wanneer een containergroep die deze velden mist, wordt gemaakt of bijgewerkt. Wijzigt de velden van containergroepen die zijn gemaakt voordat dit beleid is toegepast, pas nadat deze resourcegroepen zijn gewijzigd. | Toevoegen, uitgeschakeld | 1.0.0 |
Container Registry
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Configureer containerregisters om anonieme verificatie uit te schakelen. | Schakel anonieme pull uit voor uw register, zodat gegevens niet toegankelijk zijn voor niet-geverifieerde gebruikers. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om verificatie van ARM-doelgroeptoken uit te schakelen. | Schakel Azure Active Directory ARM-doelgroeptokens uit voor verificatie bij uw register. Alleen ACR-doelgroeptokens (Azure Container Registry) worden gebruikt voor verificatie. Dit zorgt ervoor dat alleen tokens die zijn bedoeld voor gebruik in het register, kunnen worden gebruikt voor verificatie. Het uitschakelen van ARM-doelgroeptokens heeft geen invloed op de verificatie van de gebruiker of het bereik van toegangstokens van de beheerder. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om het lokale beheerdersaccount uit te schakelen. | Schakel het beheerdersaccount voor uw register uit, zodat het niet toegankelijk is voor de lokale beheerder. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.1 |
| Containerregisters configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Container Registry-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Meer informatie op https://aka.ms/acr/portal/public-network en https://aka.ms/acr/private-link. | Wijzigen, uitgeschakeld | 1.0.0 |
| Configureer containerregisters om het bereiktoken voor opslagplaatsen uit te schakelen. | Schakel toegangstokens voor het bereik van de opslagplaats uit voor uw register, zodat opslagplaatsen niet toegankelijk zijn voor tokens. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Wijzigen, uitgeschakeld | 1.0.0 |
| Containerregisters configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in uw Container Registry. Meer informatie vindt u op: https://aka.ms/privatednszone en https://aka.ms/acr/private-link. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Containerregisters configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw premium containerregisterbronnen, kunt u risico's voor gegevenslekken verminderen. Meer informatie vindt u op: https://aka.ms/privateendpoints en https://aka.ms/acr/private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
| Voor containerregisters moet anonieme verificatie zijn uitgeschakeld. | Schakel anonieme pull uit voor uw register, zodat gegevens niet toegankelijk zijn voor niet-geverifieerde gebruikers. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten arm-doelgroeptokenverificatie hebben uitgeschakeld. | Schakel Azure Active Directory ARM-doelgroeptokens uit voor verificatie bij uw register. Alleen ACR-doelgroeptokens (Azure Container Registry) worden gebruikt voor verificatie. Dit zorgt ervoor dat alleen tokens die zijn bedoeld voor gebruik in het register, kunnen worden gebruikt voor verificatie. Het uitschakelen van ARM-doelgroeptokens heeft geen invloed op de verificatie van de gebruiker of het bereik van toegangstokens van de beheerder. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor containerregisters moeten exports zijn uitgeschakeld | Het uitschakelen van exports verbetert de beveiliging door ervoor te zorgen dat gegevens in een register alleen toegankelijk zijn via het dataplane ('docker pull'). Gegevens kunnen niet uit het register worden verplaatst via 'acr import' of via 'acr transfer'. Als u exports wilt uitschakelen, moet openbare netwerktoegang worden uitgeschakeld. Zie voor meer informatie: https://aka.ms/acr/export-policy. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten het lokale beheerdersaccount hebben uitgeschakeld. | Schakel het beheerdersaccount voor uw register uit, zodat het niet toegankelijk is voor de lokale beheerder. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Containerregisters moeten het bereiktoken voor opslagplaatsen hebben uitgeschakeld. | Schakel toegangstokens voor het bereik van de opslagplaats uit voor uw register, zodat opslagplaatsen niet toegankelijk zijn voor tokens. Als u lokale verificatiemethoden uitschakelt, zoals een gebruiker met beheerdersrechten, toegangstokens in de opslagplaats en anonieme pull, wordt de beveiliging verbeterd door ervoor te zorgen dat containerregisters uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/acr/authentication. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten SKU's hebben die ondersteuning bieden voor Privékoppelingen | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure-containerregisters accepteren standaard verbindingen via Internet van hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten voorkomen dat cacheregels worden gemaakt | Schakel het maken van cacheregels voor uw Azure Container Registry uit om te voorkomen dat er pull-gegevens worden opgehaald uit de cache. Zie voor meer informatie: https://aka.ms/acr/cache. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het persoonlijke koppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Als u privé-eindpunten aan uw containerregisters toewijst in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Controle, uitgeschakeld | 1.0.1 |
| Openbare netwerktoegang moet worden uitgeschakeld voor containerregisters | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat containerregisters niet worden weergegeven op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van containerregisterbronnen beperken. Meer informatie vindt u op: https://aka.ms/acr/portal/public-network en https://aka.ms/acr/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Cosmos DB
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Cosmos DB-accounts moeten firewallregels bevatten | Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Azure Cosmos DB-accounts mogen niet groter zijn dan het maximum aantal dagen dat is toegestaan sinds de laatste sleutelregeneratie van het account. | Genereer uw sleutels opnieuw op de opgegeven tijd om uw gegevens beter te beveiligen. | Controle, uitgeschakeld | 1.0.0 |
| Voor Azure Cosmos DB-accounts moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Toegestane locaties voor Azure Cosmos DB | Met dit beleid kunt u de locaties beperken die uw organisatie kan opgeven tijdens het implementeren van Azure Cosmos-resources. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. | [parameters('policyEffect')] | 1.1.0 |
| Azure Cosmos DB-schrijftoegang tot metagegevens op basis van sleutels moet zijn uitgeschakeld | Met dit beleid kunt u ervoor zorgen dat alle Azure Cosmos DB-accounts schrijftoegang tot metagegevens op basis van sleutels uitschakelen. | append | 1.0.0 |
| Azure Cosmos DB moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw CosmosDB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw CosmosDB-account beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cosmos DB-doorvoer moet zijn beperkt | Met dit beleid kunt u de maximale doorvoer beperken die uw organisatie kan opgeven bij het maken van Azure Cosmos DB-databases en -containers via de resourceprovider. Hiermee wordt het maken van resources voor automatische schaalaanpassing geblokkeerd. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Cosmos DB-databaseaccounts configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat uw Cosmos DB-databaseaccounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Wijzigen, uitgeschakeld | 1.1.0 |
| CosmosDB-accounts configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw CosmosDB-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Wijzigen, uitgeschakeld | 1.0.1 |
| CosmosDB-accounts configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in een CosmosDB-account. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| CosmosDB-accounts configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Cosmos DB-databaseaccounts moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Cosmos DB-databaseaccounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| CosmosDB-accounts moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Advanced Threat Protection implementeren voor Cosmos DB-accounts | Met dit beleid schakelt u Advanced Threat Protection in voor alle Cosmos DB-accounts. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Aangepaste provider
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Koppelingen voor een aangepaste provider implementeren | Hiermee wordt een koppelingsresource geïmplementeerd die geselecteerde resourcetypen koppelt aan de opgegeven aangepaste provider. Deze beleidsimplementatie biedt geen ondersteuning voor geneste resourcetypen. | deployIfNotExists | 1.0.0 |
Data Box
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor Azure Data Box-taken moet dubbele versleuteling zijn ingeschakeld voor data-at-rest op het apparaat | Schakel een tweede laag van op software gebaseerde versleuteling in voor data-at-rest op het apparaat. Het apparaat is al beveiligd via Advanced Encryption Standard 256-bits-versleuteling voor data-at-rest. Met deze optie wordt een tweede laag van gegevensversleuteling toegevoegd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Data Box-taken moeten een door de klant beheerde sleutel gebruiken om het wachtwoord voor ontgrendelen van het apparaat te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling van het wachtwoord voor ontgrendeling van het apparaat voor Azure Data Box te beheren. Door de klant beheerde sleutels helpen u bij het beheren van de toegang tot het wachtwoord voor ontgrendeling van het apparaat door de Data Box-service om het apparaat voor te bereiden en gegevens geautomatiseerd te kopiëren. De gegevens op het apparaat zelf zijn al versleuteld met Advanced Encryption Standard 256-bits-versleuteling en het wachtwoord voor ontgrendeling van het apparaat wordt standaard versleuteld met een door Microsoft beheerde sleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Data Factory
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Data Factory-pijplijnen mogen alleen communiceren met toegestane domeinen | Als u exfiltratie van gegevens en tokens wilt voorkomen, stelt u de domeinen in waarmee Azure Data Factory moet kunnen communiceren. Opmerking: in openbare preview wordt de naleving van dit beleid niet gerapporteerd en wordt beleid toegepast op Data Factory. Schakel de functionaliteit voor uitgaande regels in de ADF-studio in. U vindt meer informatie op https://aka.ms/data-exfiltration-policy. | Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure-gegevensfactory's moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Data Factory te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/adf-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Data Factory Integration Runtime moet een limiet hebben voor het aantal kernen | Als u uw resources en kosten wilt beheren, beperkt u het aantal kernen voor een integratieruntime. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resourcetype gekoppelde Azure Data Factory-service moet in de acceptatielijst staan | Definieer de acceptatielijst met gekoppelde Azure Data Factory-servicetypen. Het beperken van toegestane resourcetypen maakt het mogelijk om controle te houden over de grens van gegevensverplaatsing. Beperk bijvoorbeeld een bereik om alleen blobopslag met Data Lake Storage Gen1 en Gen2 toe te staan voor analyses of een bereik om alleen SQL- en Kusto-toegang toe te staan voor realtime query's. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Gekoppelde Azure Data Factory-services moeten Key Vault gebruiken voor het opslaan van geheimen | Om ervoor te zorgen dat geheimen (zoals verbindingsreeks s) veilig worden beheerd, moeten gebruikers geheimen verstrekken met behulp van een Azure Key Vault in plaats van ze inline op te geven in gekoppelde services. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Gekoppelde Azure Data Factory-services moeten gebruikmaken van door het systeem toegewezen beheerde identiteitverificatie wanneer deze wordt ondersteund | Het gebruik van door het systeem toegewezen beheerde identiteit bij het communiceren met gegevensarchieven via gekoppelde services voorkomt het gebruik van minder beveiligde referenties, zoals wachtwoorden of verbindingsreeks s. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Azure Data Factory moet een Git-opslagplaats gebruiken voor broncodebeheer | Configureer alleen uw ontwikkelingsdata factory met Git-integratie. Wijzigingen in testen en productie moeten worden geïmplementeerd via CI/CD en mogen geen Git-integratie hebben. PAS dit beleid NIET toe op uw QA/Test/Productiegegevensfactory's. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Data Factory moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Data Factory, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Data Factory's configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Data Factory uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-DNS-zones configureren voor privé-eindpunten die verbinding maken met Azure Data Factory | Privé-DNS records privéverbindingen met privé-eindpunten toestaan. Met privé-eindpuntverbindingen kunt u beveiligde communicatie mogelijk maken door privéconnectiviteit met uw Azure Data Factory in te schakelen zonder dat openbare IP-adressen nodig zijn bij de bron of bestemming. Zie voor meer informatie over privé-eindpunten en DNS-zones in Azure Data Factory https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Privé-eindpunten configureren voor data factory's | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Data Factory, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/data-factory/data-factory-private-link. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang in Azure Data Factory moet worden uitgeschakeld | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure Data Factory alleen toegankelijk is vanuit een privé-eindpunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Integratieruntimes van SQL Server Integration Services in Azure Data Factory moeten worden toegevoegd aan een virtueel netwerk | Azure Virtual Network-implementatie biedt verbeterde beveiliging en isolatie voor uw SQL Server Integration Services-integratieruntimes in Azure Data Factory, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. | Controleren, Weigeren, Uitgeschakeld | 2.3.0 |
Data Lake
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Versleuteling van Data Lake Store-accounts vereisen | Met dit beleid wordt ervoor gezorgd dat voor alle Data Lake Store-accounts versleuteling is ingeschakeld | deny | 1.0.0 |
| Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Bureaubladvirtualisatie
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Virtual Desktop-hostpools moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging en houdt uw gegevens veilig door ervoor te zorgen dat de toegang tot de Azure Virtual Desktop-service niet beschikbaar is voor het openbare internet. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Hostpools van Azure Virtual Desktop mogen alleen openbare netwerktoegang uitschakelen op sessiehosts | Het uitschakelen van openbare netwerktoegang voor uw hostpoolhosts van Azure Virtual Desktop, maar het toestaan van openbare toegang voor eindgebruikers verbetert de beveiliging door blootstelling aan het openbare internet te beperken. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De Azure Virtual Desktop-service moet private link gebruiken | Het gebruik van Azure Private Link met uw Azure Virtual Desktop-resources kan de beveiliging verbeteren en uw gegevens veilig houden. Meer informatie over privékoppelingen vindt u op: https://aka.ms/avdprivatelink. | Controle, uitgeschakeld | 1.0.0 |
| Werkruimten van Azure Virtual Desktop moeten openbare netwerktoegang uitschakelen | Als u openbare netwerktoegang uitschakelt voor uw Azure Virtual Desktop-werkruimteresource, voorkomt u dat de feed toegankelijk is via het openbare internet. Het toestaan van alleen privénetwerktoegang verbetert de beveiliging en houdt uw gegevens veilig. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-hostpoolbronnen configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Virtual Desktop-resources. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-hostpools configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang uit voor sessiehosts en eindgebruikers in uw Azure Virtual Desktop-hostpoolresource, zodat deze niet toegankelijk is via het openbare internet. Dit verbetert de beveiliging en houdt uw gegevens veilig. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-hostpools configureren om alleen openbare netwerktoegang voor sessiehosts uit te schakelen | Schakel openbare netwerktoegang uit voor uw hostpoolhosts van Azure Virtual Desktop, maar sta openbare toegang toe voor eindgebruikers. Hierdoor hebben gebruikers nog steeds toegang tot de AVD-service, terwijl ze ervoor zorgen dat de sessiehost alleen toegankelijk is via privéroutes. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-hostpools configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Virtual Desktop-resources, kunt u de beveiliging verbeteren en uw gegevens veilig houden. Zie voor meer informatie: https://aka.ms/avdprivatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-werkruimtebronnen configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Virtual Desktop-resources. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-werkruimten configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Virtual Desktop-werkruimteresource uit, zodat de feed niet toegankelijk is via het openbare internet. Dit verbetert de beveiliging en houdt uw gegevens veilig. Zie voor meer informatie: https://aka.ms/avdprivatelink. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Virtual Desktop-werkruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Virtual Desktop-resources, kunt u de beveiliging verbeteren en uw gegevens veilig houden. Zie voor meer informatie: https://aka.ms/avdprivatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
DevCenter
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Microsoft Dev Box-pools mogen geen door Microsoft gehoste netwerken gebruiken. | Hiermee wordt het gebruik van door Microsoft gehoste netwerken bij het maken van poolbronnen niet toegestaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
ElasticSan
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| ElasticSan moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang voor uw ElasticSan uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| ElasticSan Volume Group moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw VolumeGroup te beheren. Klantgegevens worden standaard versleuteld met door het platform beheerde sleutels, maar CMK's zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en eigendom is, met volledige controle en verantwoordelijkheid, waaronder rotatie en beheer. | Controle, uitgeschakeld | 1.0.0 |
| ElasticSan-volumegroep moet privé-eindpunten gebruiken | Met privé-eindpunten kunnen beheerders virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan een volumegroep, kan de beheerder risico's voor gegevenslekken verminderen | Controle, uitgeschakeld | 1.0.0 |
Event Grid
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Event Grid-domeinen moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Event Grid-domeinen uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-domeinen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure Event Grid-naamruimte MQTT-broker moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-naamruimte in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/aeg-ns-privateendpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Event Grid-naamruimteonderwerpbroker moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-naamruimte in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/aeg-ns-privateendpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Event Grid-naamruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/aeg-ns-privateendpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Naamruimten van Azure Event Grid-partners moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat azure Event Grid-partnernaamruimten uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Event Grid-onderwerpen moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Event Grid-onderwerpen moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Event Grid-onderwerpen uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Event Grid-onderwerpen moet een privékoppeling worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Controle, uitgeschakeld | 1.0.2 |
| Azure Event Grid-domeinen configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat uw Azure Event Grid-domeinen uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Event Grid-naamruimte MQTT-broker configureren met privé-eindpunten | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw resources, worden ze beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Event Grid-naamruimten configureren met privé-eindpunten | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw resources, worden ze beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/aeg-ns-privateendpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Event Grid-partnernaamruimten configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat uw Azure Event Grid-partnernaamruimten uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Event Grid-onderwerpen configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Event Grid-onderwerpen uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/aeg-disablelocalauth. | Wijzigen, uitgeschakeld | 1.0.0 |
| Implementeren - Azure Event Grid-domeinen configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Zie voor meer informatie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementeren - Azure Event Grid-domeinen configureren met privé-eindpunten | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw resources, worden ze beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Azure Event Grid-onderwerpen configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Zie voor meer informatie: https://aka.ms/privatednszone. | deployIfNotExists, DeployIfNotExists, Disabled | 1.1.0 |
| Implementeren - Azure Event Grid-onderwerpen configureren met privé-eindpunten | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw resources, worden ze beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Wijzigen - Azure Event Grid-domeinen configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor Azure Event Grid-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit helpt ze te beschermen tegen risico's van gegevenslekken. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
| Wijzigen - Azure Event Grid-onderwerpen configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor Azure Event Grid-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit helpt ze te beschermen tegen risico's van gegevenslekken. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
Event Hub
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle autorisatieregels behalve RootManageSharedAccessKey moeten worden verwijderd uit de Event hub-naamruimte | Event Hub-clients mogen geen toegangsbeleid op naamruimteniveau gebruiken dat toegang biedt tot alle wachtrijen en onderwerpen in een naamruimte. Overeenkomstig het beveiligingsmodel met minimale bevoegdheden, moet u voor wachtrijen en onderwerpen toegangsbeleid maken op entiteitsniveau, om alleen toegang te verlenen aan de specifieke entiteit | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Er moeten autorisatieregels worden gedefinieerd voor de Event Hub-instantie | De aanwezigheid van autorisatieregels in Event Hub-entiteiten controleren om toegang met de minste machtigingen te verlenen | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Event Hub-naamruimten moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Event Hub-naamruimten uitsluitend Microsoft Entra ID-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-eh. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Event Hub-naamruimten configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Event Hub-naamruimten uitsluitend Microsoft Entra ID-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-eh. | Wijzigen, uitgeschakeld | 1.0.1 |
| Event Hub-naamruimten configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Event Hub-naamruimten. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te wijsen aan Event Hub-naamruimten, kunt u risico's op gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten openbare netwerktoegang uitschakelen | Azure Event Hub moet openbare netwerktoegang hebben uitgeschakeld. Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://docs.microsoft.com/azure/event-hubs/private-link-service | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten dubbele versleuteling hebben ingeschakeld | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Event Hubs ondersteunt de optie om data-at-rest te versleutelen met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u ervoor kiest om gegevens te versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Event Hub gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Event Hub ondersteunt alleen versleuteling met door de klant beheerde sleutels voor naamruimten in toegewezen clusters. | Controle, uitgeschakeld | 1.0.0 |
| Event Hub-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Event Hub-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/event-hubs/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Vloeistofrelais
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Fluid Relay moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Fluid Relay-server te beheren. Standaard worden de klantgegevens versleuteld met door service beheerde sleutels, maar CMK‘s zijn doorgaans vereist om te voldoen aan de normen voor naleving van regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en eigendom is, met volledige controle en verantwoordelijkheid, waaronder rotatie en beheer. Meer informatie op https://docs.microsoft.com/azure/azure-fluid-relay/concepts/customer-managed-keys. | Controle, uitgeschakeld | 1.0.0 |
Algemeen
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Allowed locations (Toegestane locaties) | Met dit beleid kunt u de locaties beperken die uw organisatie kan opgeven tijdens het implementeren van resources. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. Resourcegroepen, Microsoft.AzureActiveDirectory/b2cDirectories en resources die gebruikmaken van de regio 'global' worden uitgesloten. | deny | 1.0.0 |
| Toegestane locaties voor resourcegroepen | Met dit beleid kunt u de locaties beperken waarin uw organisatie resourcegroepen kan maken. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. | deny | 1.0.0 |
| Allowed resource types (Toegestane resourcetypen) | Met dit beleid kunt u de resourcetypen opgeven die uw organisatie mag implementeren. Dit beleid is alleen van invloed op resourcetypen die 'tags' en 'location' ondersteunen. Als u alle resources wilt beperken, moet u dit beleid dupliceren en de 'mode' wijzigen in 'All '. | deny | 1.0.0 |
| Controle of de resourcelocatie overeenkomt met de locatie van de groep | Controle of de resourcelocatie overeenkomt met de locatie van de bijbehorende resourcegroep | controleren | 2.0.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Controle, uitgeschakeld | 1.0.1 |
| Abonnementen configureren voor het instellen van preview-functies | Met dit beleid worden de preview-functies van een bestaand abonnement geëvalueerd. Abonnementen kunnen worden hersteld om u te registreren bij een nieuwe preview-functie. Nieuwe abonnementen worden niet automatisch geregistreerd. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.1 |
| Verwijderen van resourcetypen niet toestaan | Met dit beleid kunt u de resourcetypen opgeven die uw organisatie kan beveiligen tegen onbedoeld verwijderen door aanroepen voor verwijderen te blokkeren met behulp van actie-effect weigeren. | DenyAction, Uitgeschakeld | 1.0.1 |
| M365-resources niet toestaan | Het maken van M365-resources blokkeren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| MCPP-resources niet toestaan | Het maken van MCPP-resources blokkeren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resources voor gebruikskosten uitsluiten | Met dit beleid kunt u resources voor gebruikskosten bekijken. Gebruikskosten omvatten zaken zoals opslag met datalimiet en Azure-resources die worden gefactureerd op basis van gebruik. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Not allowed resource types (Niet-toegestane resourcetypen) | Beperken welke resourcetypen in uw omgeving kunnen worden geïmplementeerd. Het beperken van resourcetypen kan de complexiteit en het kwetsbaarheid van uw omgeving verminderen en tegelijkertijd de kosten beheren. Nalevingsresultaten worden alleen weergegeven voor niet-compatibele resources. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
Gastconfiguratie
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Door de gebruiker toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguratie in te schakelen op virtuele machines | Met dit beleid wordt een door de gebruiker toegewezen beheerde identiteit toegevoegd aan virtuele machines die worden gehost in Azure die worden ondersteund door gastconfiguratie. Een door de gebruiker toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties en moet worden toegevoegd aan computers voordat u beleidsdefinities voor gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 2.1.0-preview |
| [Preview]: Configureer Windows Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Windows Server te configureren. Dit zorgt ervoor dat Windows-servers alleen kunnen worden geopend door een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Uitgebreide beveiligingsupdates moeten worden geïnstalleerd op Windows Server 2012 Arc-machines. | Windows Server 2012 Arc-computers moeten alle uitgebreide beveiligingsupdates hebben geïnstalleerd die door Microsoft zijn uitgebracht. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de vereisten voor de Azure-beveiligingsbasislijn voor Docker-hosts | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. De machine is niet juist geconfigureerd voor een van de aanbevelingen in de Azure-beveiligingsbasislijn voor Docker-hosts. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines moeten voldoen aan de STIG-nalevingsvereiste voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Linux-machines waarop OMI is geïnstalleerd, moeten versie 1.6.8-1 of hoger hebben | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Vanwege een beveiligingsoplossing die is opgenomen in versie 1.6.8-1 van het OMI-pakket voor Linux, moeten alle computers worden bijgewerkt naar de nieuwste versie. Upgrade apps/pakketten die GEBRUIKMAKEN van OMI om het probleem op te lossen. Zie https://aka.ms/omiguidance voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| [Preview]: Nexus Compute Machines moeten voldoen aan de beveiligingsbasislijn | Maakt gebruik van de Azure Policy-gastconfiguratieagent voor controle. Dit beleid zorgt ervoor dat machines voldoen aan de Nexus-beveiligingsbasislijn voor compute, met verschillende aanbevelingen die zijn ontworpen om machines te versterken tegen een reeks beveiligingsproblemen en onveilige configuraties (alleen Linux). | AuditIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: Windows-machines moeten voldoen aan de STIG-nalevingsvereisten voor Azure Compute | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in STIG-nalevingsvereisten voor Azure Compute. DISA (Defense Information Systems Agency) biedt technische handleidingen STIG (Security Technical Implementation Guide) voor het beveiligen van het rekenbesturingssystemen zoals vereist door Department of Defense (DoD). Voor meer informatie. https://public.cyber.mil/stigs/ | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Een door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties in te schakelen op virtuele machines zonder identiteiten | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, maar die geen beheerde identiteiten hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
| Add system-assigned managed identity to enable Guest Configuration assignments on VMs with a user-assigned identity (Door het systeem toegewezen beheerde identiteit toevoegen om toewijzingen van gastconfiguraties op VM's in te schakelen met een door de gebruiker toegewezen identiteit) | Op basis van dit beleid wordt een door het systeem toegewezen beheerde identiteit toegevoegd aan in Azure gehoste virtuele machines die worden ondersteund met gastconfiguratie, en die minstens één door de gebruiker toegewezen beheerde identiteit maar géén door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle toewijzingen van gastconfiguraties, en moet worden toegevoegd aan machines vóór het gebruik van beleidsdefinities voor gastconfiguratie. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | wijzigen | 4.1.0 |
| Linux-machines controleren waarvoor externe verbindingen van accounts zonder wachtwoorden zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines externe verbindingen van accounts zonder wachtwoorden toestaan | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarvoor machtigingen in het passwd-bestand niet op 0644 zijn ingesteld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines geen machtigingen in het passwd-bestand op 0644 ingesteld hebben | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter niet zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Linux-machines controleren met accounts zonder wachtwoorden | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Linux-machines accounts hebben zonder wachtwoorden | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Linux-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de resource Chef InSpec aangeeft dat een of meer van de pakketten van de parameter zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 4.2.0 |
| Windows-machines controleren waarop opgegeven leden van de groep Beheerders ontbreken | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators niet een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Netwerkverbinding van Windows-machines controleren | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als een netwerkverbindingstatus met een IP- en TCP-poort niet overeenkomt met de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de DSC-configuratie niet compatibel is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als de Windows PowerShell-opdracht Get-DSCConfigurationStatus retourneert dat de DSC-configuratie voor de machine niet compatibel is. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarop de Log Analytics-agent niet is verbonden zoals verwacht | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de agent niet is geïnstalleerd, of als deze wel is geïnstalleerd, maar door het COM-object AgentConfigManager.MgmtSvcCfg wordt geretourneerd dat deze is geregistreerd bij een andere werkruimte dan de id die is opgegeven in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarvoor de opgegeven services niet zijn geïnstalleerd en niet worden uitgevoerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als het resultaat van de Windows PowerShell-opdracht Get-service niet de servicenaam met de overeenkomende status bevat, zoals opgegeven door de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren waarvoor Seriële console van Windows niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als op de machine geen Seriële consolesoftware is geïnstalleerd of als het EMS-poortnummer of de baudrate niet zijn geconfigureerd met dezelfde waarden als de beleidsparameters. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als Windows-machines die het hergebruik van de wachtwoorden na het opgegeven aantal unieke wachtwoorden toestaan. De standaardwaarde voor unieke wachtwoorden is 24 | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren die niet aan het opgegeven domein worden toegevoegd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de waarde van de domeineigenschap in de WMI-klasse win32_computersystem niet overeenkomt met de waarde in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet zijn ingesteld op de opgegeven tijdzone | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de waarde van het kenmerk StandardName in de WMI-klasse Win32_TimeZone niet overeenkomt met de geselecteerde tijdszone van de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-machines controleren die certificaten bevatten die binnen het opgegeven aantal dagen verlopen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als certificaten in de opgegeven opslag een verloopdatum hebben die buiten het bereik van het aantal dagen in de parameter vallen. Het beleid biedt ook de optie om alleen te controleren op specifieke certificaten of om specifieke certificaten uit te sluiten, en of er moet worden gerapporteerd over verlopen certificaten. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet de opgegeven certificaten in Vertrouwde Hoofdmap bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als het certificaatarchief in de Vertrouwde hoofdmap van de machine (CERT:\LocalMachine\Root) niet één of meer certificaten bevat die zijn opgegeven in de beleidsparameter. | auditIfNotExists | 3.0.0 |
| Windows-computers controleren waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de maximale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de maximale wachtwoordduur is 70 dagen | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-computers controleren waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers waarvoor de minimale wachtwoordduur niet is ingesteld op het opgegeven aantal dagen. De standaardwaarde voor de minimale wachtwoordduur is 1 dag | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop de instelling voor wachtwoordcomplexiteit niet is ingeschakeld | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines de instelling voor wachtwoordcomplexiteit niet hebben ingeschakeld | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers controleren die niet het opgegeven Windows PowerShell-uitvoeringsbeleid bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de Windows PowerShell-opdracht Get-ExecutionPolicy een andere waarde retourneert dan wat is geselecteerd in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren waarop de opgegeven Windows PowerShell-modules niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als er geen module beschikbaar is op een locatie die is opgegeven via de omgevingsvariabele PSModulePath. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers controleren die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet-compatibel als Windows-computers die de minimale wachtwoordlengte niet beperken tot het opgegeven aantal tekens. De standaardwaarde voor de minimale wachtwoordlengte is 14 tekens | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Windows-machines controleren waarop wachtwoorden niet worden opgeslagen met omkeerbare versleuteling | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines voldoen niet als Windows-machines wachtwoorden niet opslaan met omkeerbare versleuteling | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen niet zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de naam van de toepassing niet wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren met extra accounts in de groep Beheerders | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators leden bevat die niet worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die niet binnen het opgegeven aantal dagen opnieuw zijn opgestart | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als het WMI-kenmerk LastBootUpTime in klasse Win32_Operatingsystem buiten het bereik van de opgegeven dagen in de beleidsparameter valt. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren waarop de opgegeven toepassingen zijn geïnstalleerd | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de naam van de toepassing wordt gevonden in een van de volgende registerpaden: HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall, HKLM:SOFTWARE\Wow6432node\Microsoft\Windows\CurrentVersion\Uninstall, HKCU:Software\Microsoft\Windows\CurrentVersion\Uninstall. | auditIfNotExists | 2.0.0 |
| Windows-machines controleren die opgegeven leden van de groep Beheerders bevatten | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de lokale groep Administrators een of meer leden bevat die worden vermeld in de beleidsparameter. | auditIfNotExists | 2.0.0 |
| Windows-VM's controleren waarvoor opnieuw opstarten in behandeling is | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine in afwachting is van opnieuw opstarten voor een van de volgende redenen: onderhoud op basis van onderdelen, Windows Update, naamswijziging van bestand in behandeling, naamswijziging van computer in behandeling, configuratiemanager in afwachting van opnieuw opstarten. Elke detectie heeft een uniek registerpad. | auditIfNotExists | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een virtuele Azure Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Configureer Linux Server om lokale gebruikers uit te schakelen. | Hiermee maakt u een toewijzing van een gastenconfiguratie om het uitschakelen van lokale gebruikers op Linux Server te configureren. Dit zorgt ervoor dat Linux-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingspostuur wordt verbeterd. | DeployIfNotExists, uitgeschakeld | 1.3.0-preview |
| Beveiligde communicatieprotocollen (TLS 1.1 of TLS 1.2) configureren op Windows-computers | Hiermee maakt u een toewijzing van een gastenconfiguratie voor het configureren van de opgegeven versie van het beveiligde protocol (TLS 1.1 of TLS 1.2) op een Windows-computer. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| De tijdzone op Windows-computers configureren. | Met dit beleid maakt u een gastconfiguratietoewijzing om een bepaalde tijdzone in te stellen op Windows-VM's. | deployIfNotExists | 2.1.0 |
| De Linux-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Linux-VM's | Met dit beleid wordt de Linux-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Linux-machines die worden ondersteund met gastconfiguratie. De Linux-extensie voor gastconfiguratie is een vereiste voor alle Toewijzingen van Linux-gastconfiguraties en moet worden geïmplementeerd op computers voordat u een definitie van het Linux-gastconfiguratiebeleid gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 3.1.0 |
| De Windows-extensie voor gastconfiguratie implementeren om toewijzingen van gastconfiguratie in te schakelen op Windows-VM's | Met dit beleid wordt de Windows-extensie voor gastconfiguratie geïmplementeerd op in Azure gehoste virtuele Windows-machines die worden ondersteund met gastconfiguratie. De Windows-extensie voor gastconfiguratie is een vereiste voor alle Windows-gastconfiguratietoewijzingen en moet worden geïmplementeerd op computers voordat u een beleidsdefinitie voor Windows-gastconfiguratie gebruikt. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | deployIfNotExists | 1.2.0 |
| Op Linux-machines moet de Log Analytics-agent zijn geïnstalleerd in Azure Arc | Machines voldoen niet als de Log Analytics-agent niet is geïnstalleerd op de Linux-server met Azure Arc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Linux-machines mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Virtuele Linux-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.1 |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Linux-machines | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als linux-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Linux-servers alleen toegankelijk zijn voor een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor de algehele beveiligingsstatus wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.2.0-preview |
| Lokale verificatiemethoden moeten worden uitgeschakeld op Windows-servers | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Computers zijn niet compatibel als Windows-servers geen lokale verificatiemethoden hebben uitgeschakeld. Dit is om te controleren of Windows-servers alleen toegankelijk zijn via een AAD-account (Azure Active Directory) of een lijst met expliciet toegestane gebruikers door dit beleid, waardoor het algehele beveiligingspostuur wordt verbeterd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| Privé-eindpunten voor gastconfiguratietoewijzingen moeten zijn ingeschakeld | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met gastconfiguratie in te schakelen voor virtuele machines. Virtuele machines zijn niet-compatibel, tenzij ze de tag EnablePrivateNetworkGC hebben. Deze tag dwingt beveiligde communicatie af via privéconnectiviteit met gastconfiguratie voor virtuele machines. Privéconnectiviteit beperkt de toegang tot verkeer dat alleen afkomstig is van bekende netwerken en voorkomt toegang vanaf alle andere IP-adressen, waaronder binnen Azure. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-gastconfiguratieagent. Exploit Guard bestaat uit vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen diverse aanvalsvectoren en blokkeergedrag die in malware-aanvallen worden gebruikt en die bedrijven de mogelijkheid bieden om een goede balans te vinden tussen hun vereisten op het gebied van beveiligingsrisico's en productiviteit (alleen Windows). | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten worden geconfigureerd voor het gebruik van veilige communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows-computers moeten Windows Defender configureren om beveiligingshandtekeningen binnen één dag bij te werken | Windows Defender-beveiligingshandtekeningen moeten regelmatig worden bijgewerkt om rekening te houden met nieuw uitgebrachte malware om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Windows-computers moeten Realtime-beveiliging van Windows Defender inschakelen | Windows-computers moeten de realtime-beveiliging in windows Defender inschakelen om voldoende bescherming te bieden tegen nieuw uitgebrachte malware. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Op Windows-computers moet de Log Analytics-agent zijn geïnstalleerd in Azure Arc | Machines zijn niet compatibel als de Log Analytics-agent niet is geïnstalleerd op Windows Server met Azure Arc. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Configuratiescherm' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Configuratiescherm voor het personaliseren van invoer en het inschakelen van vergrendelingsschermen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - MSS (verouderd)' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - MSS (verouderd) voor automatische aanmelding, schermbeveiliging, netwerkgedrag, veilige DLL en gebeurtenislogboek. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beheersjablonen - Netwerk' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Netwerk voor aanmeldingen van gasten, gelijktijdige verbindingen, netwerkbrug, ICS en multicast-naamomzetting. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beheersjablonen - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beheersjablonen - Systeem voor instellingen waarmee de beheerervaring en hulp op afstand worden beheerd. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Accounts' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Accounts voor het beperken van het gebruik van een leeg wachtwoord en de status van het gastaccount voor lokale accounts. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Beveiligingsopties - Controle' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Controle voor de subcategorie voor het afdwingen van controlebeleid en het afsluiten van de computer als beveiligingslogboekregistratie niet mogelijk is. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Apparaten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Apparaten voor ontkoppelen zonder aanmelding, het installeren van printerstuurprogramma's en het formatteren/uitwerpen van media. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Interactieve aanmelding' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie 'Beveiligingsopties - Interactieve aanmelding' voor het weergeven van achternaam en het vereisen van Ctrl-alt-del. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Microsoft-netwerkclient' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkclient voor de client/server in het Microsoft-netwerk en SMB v1. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Microsoft-netwerkserver' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Microsoft-netwerkserver voor het uitschakelen van de SMB v1-server. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerktoegang' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerktoegang voor onder meer toegang voor anonieme gebruikers, lokale accounts en externe toegang tot het register. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Netwerkbeveiliging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Netwerkbeveiliging voor onder meer het gedrag van het lokale systeem, PKU2U, LAN Manager, LDAP-client en NTLM SSP. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Herstelconsole' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Herstelconsole om het kopiëren van bestanden en de toegang tot alle stations en mappen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Afsluiten' | Windows-computers moeten over de opgegeven groepsbeleidinstellingen beschikken in de categorie Beveiligingsopties - Afsluiten om afsluiten zonder aanmelding en het wissen van het wisselbestand voor virtueel geheugen toe te staan. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeemobjecten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeemobjecten voor het negeren van hoofd- en kleine letters voor niet-Windows-subsystemen en machtigingen van interne systeemobjecten. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Beveiligingsopties - Systeeminstellingen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsopties - Systeeminstellingen voor certificaatregels voor uitvoerbare bestanden voor SRP en optionele subsystemen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsopties - Gebruikersaccountbeheer' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Beveiligingsopties - Gebruikersaccountbeheer voor de modus voor beheerders, het gedrag van verhoogde bevoegdheden en het virtualiseren van schrijffouten in bestanden en registers. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Beveiligingsinstellingen - Accountbeleid' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Beveiligingsinstellingen - Accountbeleid voor de geschiedenis, leeftijd, lengte, complexiteit en opslag van wachtwoorden met omkeerbare versleuteling. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelding met account' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelding met account om validatie van referenties en andere aanmeldingsgebeurtenissen voor accounts te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Accountbeheer' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Accountbeheer voor het controleren van de toepassing, de beveiliging en het beheer van gebruikersgroepen en andere beheergebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Uitvoerige tracering' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Uitvoerige tracering voor het controleren van DPAPI, het maken/beëindigen van processen, RPC-gebeurtenissen en PNP-activiteit. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Aanmelden/afmelden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Aanmelden/afmelden voor het controleren van IPSec, netwerkbeleid, claims, accountvergrendeling, groepslidmaatschap en aan- en afmeldingsgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Toegang tot object' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Toegang tot object voor het controleren van een bestand, register, SAM, opslag, filters, kernel en andere systeemtypen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Beleidswijziging' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Beleidswijziging voor het controleren van wijzigingen in systeemcontrolebeleidsregels. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Gebruik van bevoegdheden' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Gebruik van bevoegdheden om het gebruik van niet-gevoelige en andere bevoegdheden te controleren. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan vereisten voor 'Systeemcontrolebeleid - Systeem' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Systeemcontrolebeleid - Systeem voor het controleren van IPsec-stuurprogramma, systeemintegriteit, systeemuitbreiding, statuswijziging en andere systeemgebeurtenissen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Toewijzing van gebruikersrechten' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Toewijzing van gebruikersrechten, waarmee lokaal aanmelden, RDP, toegang vanaf het netwerk en talloze overige gebruikersactiviteiten mogelijk zijn. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan de vereisten voor 'Windows-onderdelen' | Windows-computers moeten over de opgegeven groepsbeleidsinstellingen beschikken in de categorie Windows-onderdelen voor basisverificatie, niet-versleuteld verkeer, Microsoft-accounts, telemetrie, Cortana en ander Windows-gedrag. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-computers moeten voldoen aan vereisten voor 'Eigenschappen van Windows Firewall' | Windows-computers moeten beschikken over de opgegeven groepsbeleidsinstellingen in de categorie Eigenschappen van Windows Firewall voor de firewallstatus, de verbindingen, het regelbeheer en meldingen. Dit beleid vereist dat de Gastconfiguratie-vereisten zijn geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Windows-machines moeten voldoen aan de vereisten van de Azure Compute-beveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet compatibel als de machine niet juist is geconfigureerd voor een van de aanbevelingen in de Azure Compute-beveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers mogen alleen lokale accounts hebben die zijn toegestaan | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Deze definitie wordt niet ondersteund in Windows Server 2012 of 2012 R2. Het beheren van gebruikersaccounts met behulp van Azure Active Directory is een best practice voor het beheer van identiteiten. Het verminderen van lokale computeraccounts helpt de verspreiding van identiteiten die buiten een centraal systeem worden beheerd, te voorkomen. Machines zijn niet-compatibel als lokale gebruikersaccounts bestaan die zijn ingeschakeld en niet worden vermeld in de beleidsparameter. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows-computers moeten Windows Defender plannen om elke dag een geplande scan uit te voeren | Om te zorgen voor promptdetectie van malware en het minimaliseren van de impact op uw systeem, wordt aanbevolen dat Windows-computers met Windows Defender een dagelijkse scan plannen. Zorg ervoor dat Windows Defender wordt ondersteund, vooraf is geïnstalleerd op het apparaat en dat de vereisten voor gastconfiguratie zijn geïmplementeerd. Als u niet aan deze vereisten voldoet, kan dit leiden tot onjuiste evaluatieresultaten. Meer informatie over gastconfiguratie vindt u op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Windows-computers moeten de standaard-NTP-server gebruiken | Stel de 'time.windows.com' in als de standaard NTP-server voor alle Windows-computers om ervoor te zorgen dat logboeken op alle systemen systeemklokken hebben die allemaal gesynchroniseerd zijn. Dit beleid vereist dat de vereisten voor gastconfiguratie zijn geïmplementeerd in het bereik van de beleidstoewijzing. Ga naar https://aka.ms/gcpol voor meer informatie over gastconfiguratie. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Virtuele Windows-machines moeten Azure Disk Encryption of EncryptionAtHost inschakelen. | Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.1.1 |
HDInsight
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure HDInsight-clusters moeten worden geïnjecteerd in een virtueel netwerk | Het injecteren van Azure HDInsight-clusters in een virtueel netwerk ontgrendelt geavanceerde HDInsight-netwerk- en beveiligingsfuncties en biedt u controle over uw netwerkbeveiligingsconfiguratie. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Azure HDInsight-clusters moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure HDInsight-clusters te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/hdi.cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure HDInsight-clusters moeten gebruikmaken van versleuteling op host om data-at-rest te versleutelen | Door versleuteling op host in te schakelen, kunt u uw gegevens beveiligen en beveiligen om te voldoen aan de beveiligings- en nalevingsverplichtingen van uw organisatie. Wanneer u versleuteling op de host inschakelt, worden gegevens die zijn opgeslagen op de VM-host in rust versleuteld en stromen versleuteld naar de Storage-service. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure HDInsight-clusters moeten versleuteling in transit gebruiken om communicatie tussen Azure HDInsight-clusterknooppunten te versleutelen | Er kan met gegevens worden geknoeid tijdens de overdracht tussen Azure HDInsight-clusterknooppunten. Het inschakelen van versleuteling in transit heeft betrekking op problemen met misbruik en manipulatie tijdens deze verzending. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure HDInsight moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan Azure HDInsight-clusters, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/hdi.pl. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure HDInsight-clusters configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure HDInsight-clusters. Zie voor meer informatie: https://aka.ms/hdi.pl. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure HDInsight-clusters configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan Azure HDInsight-clusters, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/hdi.pl. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Health Bot
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Health Bots moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels (CMK) om de versleuteling at rest van de gegevens van uw healthbots te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar CMK is doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met CMK kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie vindt u op https://docs.microsoft.com/azure/health-bot/cmk | Controle, uitgeschakeld | 1.0.0 |
Health Data Services-werkruimte
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Health Data Services-werkruimte moet gebruikmaken van private link | Health Data Services-werkruimte moet ten minste één goedgekeurde privé-eindpuntverbinding hebben. Clients in een virtueel netwerk hebben beveiligde toegang tot resources met privé-eindpuntverbindingen door middel van privékoppelingen. Voor meer informatie gaat u naar: https://aka.ms/healthcareapisprivatelink. | Controle, uitgeschakeld | 1.0.0 |
Healthcare-API's
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| CORS mag niet toestaan dat elk domein toegang heeft tot uw FHIR-service | CorS (Cross-Origin Resource Sharing) mag niet toestaan dat alle domeinen toegang hebben tot uw FHIR-service. Als u uw FHIR-service wilt beveiligen, verwijdert u de toegang voor alle domeinen en definieert u expliciet de domeinen die zijn toegestaan om verbinding te maken. | controle, controle, uitgeschakeld, uitgeschakeld | 1.1.0 |
| DICOM-service moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling at rest van de gegevens te beheren die zijn opgeslagen in de Dicom-service van Azure Health Data Services wanneer dit een wettelijke of nalevingsvereiste is. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels. | Controle, uitgeschakeld | 1.0.0 |
| FHIR Service moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Gebruik een door de klant beheerde sleutel om de versleuteling in rust te beheren van de gegevens die zijn opgeslagen in Azure Health Data Services FHIR Service wanneer dit een wettelijke of nalevingsvereiste is. Door de klant beheerde sleutels bieden ook dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard die wordt uitgevoerd met door service beheerde sleutels. | Controle, uitgeschakeld | 1.0.0 |
Internet of Things
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure IoT Hub moet een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Versleuteling van data-at-rest in IoT Hub met door de klant beheerde sleutel voegt een tweede versleutelingslaag toe boven op de standaard door de service beheerde sleutels, maakt het klantbeheer mogelijk van sleutels, aangepast rotatiebeleid en de mogelijkheid om toegang tot gegevens te beheren via sleuteltoegangsbeheer. Door de klant beheerde sleutels moeten worden geconfigureerd tijdens het maken van IoT Hub. Zie https://aka.ms/iotcmkvoor meer informatie over het configureren van door de klant beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: IoT Hub Device Provisioning Service-gegevens moeten worden versleuteld met behulp van door de klant beheerde sleutels (CMK) | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw IoT Hub-apparaatinrichtingsservice te beheren. De gegevens worden automatisch in rust versleuteld met door de service beheerde sleutels, maar cmk (door de klant beheerde sleutels) zijn doorgaans vereist om te voldoen aan regelgevingsnalevingsstandaarden. CMK‘s zorgen ervoor dat de gegevens worden versleuteld met een Azure Key Vault-sleutel die u hebt gemaakt en waarvan u eigenaar bent. Zie voor meer informatie over CMK-versleuteling: https://aka.ms/dps/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure Device Update-accounts moeten een door de klant beheerde sleutel gebruiken om data-at-rest te versleutelen | Versleuteling van data-at-rest in Azure Device Update met door de klant beheerde sleutel voegt een tweede versleutelingslaag toe boven op de standaard door de service beheerde sleutels, maakt het klantbeheer mogelijk van sleutels, aangepast rotatiebeleid en de mogelijkheid om toegang tot gegevens te beheren via toegangsbeheer voor sleutels. Meer informatie vindt u op:https://learn.microsoft.com/azure/iot-hub-device-update/device-update-data-encryption | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Device Update voor IoT Hub-accounts moet gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Device Update voor IoT Hub-accounts, worden risico's voor gegevenslekken verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure IoT Hub moeten lokale verificatiemethoden zijn uitgeschakeld voor Service-API's | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure IoT Hub uitsluitend Azure Active Directory-identiteiten vereist voor service-API-verificatie. Zie voor meer informatie: https://aka.ms/iothubdisablelocalauth. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Device Update configureren voor IoT Hub-accounts om openbare netwerktoegang uit te schakelen | Als u de eigenschap voor openbare netwerktoegang uitschakelt, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Apparaatupdate voor IoT Hub alleen toegankelijk is vanuit een privé-eindpunt. Met dit beleid wordt de toegang tot openbare netwerken op Device Update voor IoT Hub-resources uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Device Update configureren voor IoT Hub-accounts voor het gebruik van privé-DNS-zones | Azure Privé-DNS biedt een betrouwbare, veilige DNS-service voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen. U kunt privé-DNS-zones gebruiken om de DNS-omzetting te overschrijven met behulp van uw eigen aangepaste domeinnamen voor een privé-eindpunt. Met dit beleid wordt een privé-DNS-zone geïmplementeerd voor Apparaatupdatefor IoT Hub-privé-eindpunten. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Device Update configureren voor IoT Hub-accounts met een privé-eindpunt | Een privé-eindpunt is een privé-IP-adres dat is toegewezen in een virtueel netwerk dat eigendom is van de klant via welke een Azure-resource bereikbaar is. Met dit beleid wordt een privé-eindpunt geïmplementeerd voor uw Apparaatupdate voor IoT Hub, zodat services in uw virtuele netwerk deze resource kunnen bereiken zonder dat verkeer naar Device Update moet worden verzonden voor het openbare eindpunt van IoT Hub. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Azure IoT Hub configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure IoT Hub uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/iothubdisablelocalauth. | Wijzigen, uitgeschakeld | 1.0.0 |
| IoT Hub-apparaatinrichtingsexemplaren configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in een IoT Hub Device Provisioning Service-exemplaar. Zie voor meer informatie: https://aka.ms/iotdpsvnet. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang uit voor uw IoT Hub-apparaatinrichtingsexemplaren, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/iotdpsvnet. | Wijzigen, uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te stellen aan de IoT Hub-apparaatinrichtingsservice, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Azure IoT Hubs configureren voor het gebruik van privé-DNS-zones | Azure Privé-DNS biedt een betrouwbare, veilige DNS-service voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen. U kunt privé-DNS-zones gebruiken om de DNS-omzetting te overschrijven met behulp van uw eigen aangepaste domeinnamen voor een privé-eindpunt. Met dit beleid wordt een privé-DNS-zone geïmplementeerd voor privé-eindpunten van IoT Hub. | deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Implementeren - Azure IoT Hubs configureren met privé-eindpunten | Een privé-eindpunt is een privé-IP-adres dat is toegewezen in een virtueel netwerk dat eigendom is van de klant via welke een Azure-resource bereikbaar is. Met dit beleid wordt een privé-eindpunt voor uw IoT-hub geïmplementeerd, zodat services in uw virtuele netwerk IoT Hub kunnen bereiken zonder dat verkeer naar het openbare eindpunt van IoT Hub moet worden verzonden. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - IoT Central configureren voor het gebruik van privé-DNS-zones | Azure Privé-DNS biedt een betrouwbare, veilige DNS-service voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen. U kunt privé-DNS-zones gebruiken om de DNS-omzetting te overschrijven met behulp van uw eigen aangepaste domeinnamen voor een privé-eindpunt. Met dit beleid wordt een privé-DNS-zone geïmplementeerd voor privé-eindpunten van IoT Central. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - IoT Central configureren met privé-eindpunten | Een privé-eindpunt is een privé-IP-adres dat is toegewezen in een virtueel netwerk dat eigendom is van de klant via welke een Azure-resource bereikbaar is. Met dit beleid wordt een privé-eindpunt voor uw IoT Central geïmplementeerd, zodat services in uw virtuele netwerk IoT Central kunnen bereiken zonder dat verkeer naar het openbare eindpunt van IoT Central hoeft te worden verzonden. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| IoT Central moet een privékoppeling gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw IoT Central-toepassing in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotcentral-network-security-using-pe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat het IoT Hub-exemplaar van de apparaatinrichtingsservice niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Inrichtingsexemplaren van IoT Hub-apparaten beperken. Zie voor meer informatie: https://aka.ms/iotdpsvnet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| IoT Hub Device Provisioning Service-exemplaren moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan de IoT Hub-apparaatinrichtingsservice, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/iotdpsvnet. | Controle, uitgeschakeld | 1.0.0 |
| Wijzigen - Azure IoT Hubs configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure IoT Hub alleen toegankelijk is vanuit een privé-eindpunt. Met dit beleid wordt de toegang tot openbare netwerken op IoT Hub-resources uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Wijzigen - IoT Central configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw IoT Central alleen toegankelijk is vanaf een privé-eindpunt. Met dit beleid wordt de toegang tot openbare netwerken op IoT Hub-resources uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-eindpunt moet zijn ingeschakeld voor IoT Hub | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met IoT Hub in te schakelen. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | Controle, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang voor Azure Device Update voor IoT Hub-accounts moet worden uitgeschakeld | Als u de eigenschap voor openbare netwerktoegang uitschakelt, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Azure Device Update voor IoT Hub-accounts alleen toegankelijk zijn vanaf een privé-eindpunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang in Azure IoT Hub moet worden uitgeschakeld | Als u de eigenschap voor openbare netwerktoegang uitschakelt, verbetert u de beveiliging door ervoor te zorgen dat uw Azure IoT Hub alleen toegankelijk is vanuit een privé-eindpunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor IoT Central | Om de beveiliging van IoT Central te verbeteren, moet u ervoor zorgen dat ioT Central niet wordt blootgesteld aan het openbare internet en alleen toegankelijk is vanaf een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/iotcentral-restrict-public-access. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resourcelogboeken in IoT Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 3.1.0 |
Key Vault
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Beheerde HSM-sleutels van Azure Key Vault moeten een vervaldatum hebben | Als u dit beleid in preview wilt gebruiken, moet u eerst deze instructies volgen op https://aka.ms/mhsmgovernance. Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
| [Preview]: Beheerde HSM-sleutels van Azure Key Vault moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als u dit beleid in preview wilt gebruiken, moet u eerst deze instructies volgen op https://aka.ms/mhsmgovernance. Als een sleutel bijna is vervallen, kan een organisatorische vertraging in het roteren van de sleutel tot uitval leiden. Sleutels moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
| [Preview]: Beheerde HSM-sleutels van Azure Key Vault met behulp van elliptische curvecryptografie moeten de opgegeven curvenamen hebben | Als u dit beleid in preview wilt gebruiken, moet u eerst deze instructies volgen op https://aka.ms/mhsmgovernance. Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
| [Preview]: Beheerde HSM-sleutels van Azure Key Vault met behulp van RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebben | Als u dit beleid in preview wilt gebruiken, moet u eerst deze instructies volgen op https://aka.ms/mhsmgovernance. Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
| [Preview]: Beheerde HSM van Azure Key Vault moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang voor uw beheerde HSM van Azure Key Vault uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault moet gebruikmaken van een privékoppeling | Private Link biedt een manier om azure Key Vault Managed HSM te verbinden met uw Azure-resources zonder verkeer via het openbare internet te verzenden. Een privékoppeling biedt uitgebreide beveiliging tegen gegevensexfiltratie. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Certificaten moeten worden uitgegeven door een van de opgegeven niet-geïntegreerde certificeringsinstanties | Beheer de nalevingsvereisten van uw organisatie door aangepaste of interne certificeringsinstanties op te geven die certificaten in uw sleutelkluis kunnen uitgeven. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw beheerde HSM van Azure Key Vault uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm. | Wijzigen, uitgeschakeld | 2.0.0-preview |
| [Preview]: Beheerde HSM van Azure Key Vault configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan beheerde HSM van Azure Key Vault, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Beheerde HSM van Azure Key Vault moet beveiliging tegen opschonen zijn ingeschakeld | Het verwijderen van een door Azure Key Vault beheerde HSM kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan azure Key Vault Managed HSM mogelijk verwijderen en opschonen. Beveiliging tegen opschonen beschermt u tegen insider-aanvallen door een verplichte bewaarperiode af te dwingen voor voorlopig verwijderde beheerde HSM van Azure Key Vault. Niemand binnen uw organisatie of Microsoft kan uw beheerde HSM van Azure Key Vault leegmaken tijdens de bewaarperiode voor voorlopig verwijderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Key Vault moet openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang voor uw sleutelkluis uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/akvprivatelink. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Azure Key Vault moet firewall zijn ingeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Controleren, Weigeren, Uitgeschakeld | 3.2.1 |
| Azure Key Vault moet gebruikmaken van het RBAC-machtigingsmodel | RBAC-machtigingsmodel inschakelen in Key Vaults. Meer informatie vindt u op: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Key Vaults moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Certificaten moeten worden uitgegeven door de opgegeven geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door de geïntegreerde Azure-certificeringsinstanties op te geven die certificaten kunnen verlenen in uw sleutelkluis, zoals Digicert of GlobalSign. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten worden uitgegeven door de opgegeven niet-geïntegreerde certificeringsinstantie | Beheer de nalevingsvereisten van uw organisatie door één aangepaste of interne certificeringsinstantie op te geven die certificaten in uw sleutelkluis kan uitgeven. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Voor certificaten moeten de opgegeven activeringen voor levensduuractie zijn ingevoerd | Beheer de nalevingsvereisten van uw organisatie door op te geven of een actie voor de levensduur van een certificaat wordt geactiveerd met een bepaald percentage van de levensduur of op een bepaald aantal dagen voordat de vervaldatum is verstreken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
| Certificaten mogen niet binnen het opgegeven aantal dagen verlopen | Beheer certificaten die binnen een opgegeven aantal dagen verlopen, zodat uw organisatie voldoende tijd heeft om het certificaat te roteren voordat het verloopt. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.1 |
| Certificaten moeten toegestane sleuteltypen gebruiken | Beheer de nalevingsvereisten van uw organisatie door de toegestane sleuteltypen voor certificaten te beperken. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten die gebruikmaken van elliptische curve-cryptografie moeten toegestane curvenamen hebben | Beheer de toegestane elliptische curve-namen voor ECC-certificaten die zijn opgeslagen in de sleutelkluis. Meer informatie vindt u op https://aka.ms/akvpolicy. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Certificaten met RSA-cryptografie moeten de opgegeven minimale sleutelgrootte hebben | Beheer de nalevingsvereisten van uw organisatie door een minimale sleutelgrootte voor RSA-certificaten op te geven die zijn opgeslagen in uw sleutelkluis. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.1.0 |
| Azure Key Vaults configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in de sleutelkluis. Zie voor meer informatie: https://aka.ms/akvprivatelink. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Key Vaults configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Sleutelkluizen configureren om firewall in te schakelen | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen. Vervolgens kunt u specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security | Wijzigen, uitgeschakeld | 1.1.1 |
| Implementeren - Diagnostische instellingen configureren voor Azure Key Vault naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Key Vault geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een Sleutelkluis waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.1 |
| Implementeren- Diagnostische instellingen configureren voor een Event Hub die moet worden ingeschakeld in Azure Key Vault Managed HSM | Hiermee worden de diagnostische instellingen voor beheerde HSM van Azure Key Vault geïmplementeerd om te streamen naar een regionale Event Hub wanneer een beheerde HSM van Azure Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen voor Key Vault toepassen op Event Hub | Hiermee worden de diagnostische instellingen voor Key Vault geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 3.0.1 |
| Key Vault-sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Key Vault-geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Sleutels moeten worden ondersteund door een HSM (Hardware Security Module) | Een HSM is een hardwarebeveiligingsmodule waarin sleutels worden opgeslagen. Een HSM biedt een fysieke beveiligingslaag voor cryptografische sleutels. De cryptografische sleutel kan geen fysieke HSM verlaten die een grotere mate van beveiliging biedt dan een softwaresleutel. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten van het opgegeven cryptografische type RSA of EC zijn | Voor sommige toepassingen is het gebruik van sleutels vereist die door een specifiek cryptografisch type worden ondersteund. Dwing een bepaald cryptografisch sleuteltype in uw omgeving af, RSA of EC. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten een rotatiebeleid hebben om ervoor te zorgen dat hun rotatie binnen het opgegeven aantal dagen na het maken is gepland. | Beheer de nalevingsvereisten van uw organisatie door het maximum aantal dagen na het maken van de sleutel op te geven totdat deze moet worden geroteerd. | Controle, uitgeschakeld | 1.0.0 |
| Sleutels moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een sleutel bijna is vervallen, kan een organisatorische vertraging in het roteren van de sleutel tot uitval leiden. Sleutels moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een sleutel binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels mogen niet langer dan het opgegeven aantal dagen actief zijn | Geef het aantal dagen op dat een sleutel actief moet zijn. Sleutels die gedurende een lange periode worden gebruikt, vergroten de kans dat een aanvaller misbruik van de sleutel maakt. Het is een goede beveiligingspraktijk sleutels niet langer dan twee jaar actief te houden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels die gebruikmaken van elliptische curve-cryptografie, moeten de opgegeven curvenamen hebben | Sleutels die worden ondersteund door elliptische curve-cryptografie, kunnen verschillende curvenamen hebben. Sommige toepassingen zijn alleen compatibel met specifieke elliptische-curvesleutels. Dwing de typen elliptische-curvesleutels af die in uw omgeving mogen worden gemaakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Sleutels met RSA-cryptografie moeten een opgegeven minimale sleutelgrootte hebben | Stel de minimaal toegestane sleutelgrootte in die u voor uw sleutelkluizen wilt gebruiken. Het gebruik van RSA-sleutels met kleine sleutelgrootten is geen veilige manier en voldoet niet aan een groot aantal industriële certificeringsvereisten. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Resourcelogboeken in beheerde HSM van Azure Key Vault moeten zijn ingeschakeld | Als u activiteitentrails voor onderzoeksdoeleinden opnieuw wilt maken wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast, wilt u mogelijk controleren door resourcelogboeken in te schakelen op beheerde HSM's. Volg de instructies hier: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Resourcelogboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Voor geheimen moet een inhoudstype zijn ingesteld | Met een inhoudstypetag kunt u bepalen of een geheim een wachtwoord is, verbindingsreeks enzovoort. Verschillende geheimen hebben verschillende rotatievereisten. De tag voor het inhoudstype moet voor geheimen zijn ingesteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten meer dan het opgegeven aantal dagen vóór de vervaldatum hebben | Als een geheim bijna is vervallen, kan een organisatorische vertraging in het roteren van het geheim tot uitval leiden. Geheimen moeten na een bepaald aantal dagen vóór de vervaldatum worden geroteerd om te zorgen dat er voldoende tijd is om op een fout te kunnen reageren. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen moeten de opgegeven maximale geldigheidsduur hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur (in dagen) op te geven dat een geheim binnen uw sleutelkluis geldig mag zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Geheimen mogen niet langer dan het opgegeven aantal dagen actief zijn | Als uw geheimen zijn gemaakt met een activeringsdatum die in de toekomst ligt, moet u ervoor zorgen dat de geheimen niet langer actief zijn dan de opgegeven duur. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Kubernetes
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: [Afbeeldingsintegriteit] Kubernetes-clusters mogen alleen afbeeldingen gebruiken die zijn ondertekend door notatie | Gebruik afbeeldingen die zijn ondertekend door notatie om ervoor te zorgen dat afbeeldingen afkomstig zijn van vertrouwde bronnen en niet schadelijk worden gewijzigd. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | Controle, uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clusters met Azure Arc moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: Kan afzonderlijke knooppunten niet bewerken | Kan afzonderlijke knooppunten niet bewerken. Gebruikers mogen afzonderlijke knooppunten niet bewerken. Bewerk knooppuntgroepen. Het wijzigen van afzonderlijke knooppunten kan leiden tot inconsistente instellingen, operationele uitdagingen en potentiële beveiligingsrisico's. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Kubernetes-clusters met Azure Arc configureren om Microsoft Defender voor Cloud-extensie te installeren | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de back-end van Azure Defender voor Kubernetes in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | DeployIfNotExists, uitgeschakeld | 7.1.0-preview |
| [Preview]: Integriteit van installatiekopieën implementeren in Azure Kubernetes Service | Implementeer zowel afbeeldingsintegriteit als invoegtoepassingen voor Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-integrity | DeployIfNotExists, uitgeschakeld | 1.0.5-preview |
| [Preview]: Kubernetes-clustercontainerinstallatiekopieën moeten de preStop-hook bevatten | Vereist dat containerinstallatiekopieën een preStop-hook bevatten om processen correct te beëindigen tijdens het afsluiten van pods. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Containerinstallatiekopieën van Kubernetes-clusters mogen geen meest recente installatiekopieën tag bevatten | Vereist dat containerinstallatiekopieën niet gebruikmaken van de meest recente tag in Kubernetes. Het is een best practice om reproduceerbaarheid te garanderen, onbedoelde updates te voorkomen en eenvoudiger foutopsporing en terugdraaiacties te vergemakkelijken met behulp van expliciete en geversiede containerinstallatiekopieën. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Kubernetes-clustercontainers mogen alleen installatiekopieën ophalen wanneer er pull-geheimen voor installatiekopieën aanwezig zijn | Het ophalen van installatiekopieën van containers beperken om de aanwezigheid van ImagePullSecrets af te dwingen, waardoor veilige en geautoriseerde toegang tot installatiekopieën binnen een Kubernetes-cluster wordt gegarandeerd | Controleren, Weigeren, Uitgeschakeld | 1.1.0-preview |
| [Preview]: Kubernetes-clusterservices moeten gebruikmaken van unieke selectors | Zorg ervoor dat services in een naamruimte unieke selectors hebben. Een unieke serviceselector zorgt ervoor dat elke service in een naamruimte uniek identificeerbaar is op basis van specifieke criteria. Dit beleid synchroniseert toegangsbeheerbronnen naar OPA via Gatekeeper. Voordat u dit toepast, controleert u of de geheugencapaciteit van Gatekeeper-pods niet wordt overschreden. Parameters zijn van toepassing op specifieke naamruimten, maar synchroniseert alle resources van dat type in alle naamruimten. Momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Kubernetes-cluster moet nauwkeurige budgetten voor podonderbreking implementeren | Voorkomt defecte budgetten voor podonderbrekingen, waardoor een minimum aantal operationele pods wordt gegarandeerd. Raadpleeg de officiële Kubernetes-documentatie voor meer informatie. Is afhankelijk van Gatekeeper-gegevensreplicatie en synchroniseert alle toegangsbeheerobjectresources binnen het bereik ervan in OPA. Voordat u dit beleid toepast, moet u ervoor zorgen dat de gesynchroniseerde toegangsbeheerbronnen uw geheugencapaciteit niet belasten. Hoewel parameters specifieke naamruimten evalueren, worden alle resources van dat type tussen naamruimten gesynchroniseerd. Opmerking: momenteel in preview voor Kubernetes Service (AKS). | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Kubernetes-clusters moeten het maken van een bepaald resourcetype beperken | Het opgegeven Kubernetes-resourcetype mag niet worden geïmplementeerd in een bepaalde naamruimte. | Controleren, Weigeren, Uitgeschakeld | 2.2.0-preview |
| [Preview]: er moeten antiaffiniteitsregels zijn ingesteld | Dit beleid zorgt ervoor dat pods worden gepland op verschillende knooppunten in het cluster. Door antiaffiniteitsregels af te dwingen, wordt de beschikbaarheid gehandhaafd, zelfs als een van de knooppunten niet meer beschikbaar is. Pods blijven worden uitgevoerd op andere knooppunten, waardoor de tolerantie wordt verbeterd. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: geen specifieke AKS-labels | Hiermee voorkomt u dat klanten AKS-specifieke labels toepassen. AKS maakt gebruik van labels die voorafgegaan zijn door kubernetes.azure.com AKS-onderdelen. De klant mag deze labels niet gebruiken. |
Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Taints van gereserveerde systeemgroep | Beperkt de CriticalAddonsOnly taint tot alleen de systeemgroep. AKS gebruikt de Taint CriticalAddonsOnly om klantpods weg te houden van de systeemgroep. Het zorgt voor een duidelijke scheiding tussen AKS-onderdelen en klantpods, en voorkomt dat klantpods worden verwijderd als ze de CriticalAddonsOnly-taint niet tolereren. | Controleren, Weigeren, Uitgeschakeld | 1.1.1-preview |
| [Preview]: Beperkt de Taint CriticalAddonsOnly tot alleen de systeemgroep. | Om verwijdering van gebruikers-apps uit gebruikersgroepen te voorkomen en de scheiding van problemen tussen de gebruikers- en systeemgroepen te behouden, mag de taint CriticalAddonsOnly niet worden toegepast op gebruikersgroepen. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u CPU-limieten voor Kubernetes-clustercontainers in op standaardwaarden voor het geval deze niet aanwezig zijn. | Cpu-limieten voor containers instellen om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.1.1-preview |
| [Preview]: Hiermee stelt u geheugenlimieten voor Kubernetes-clustercontainers in op standaardwaarden voor het geval deze niet aanwezig zijn. | Stel limieten voor containergeheugen in om aanvallen op resources in een Kubernetes-cluster te voorkomen. | Dempen, uitgeschakeld | 1.1.1-preview |
| [Preview]: hiermee stelt u maxUnavailable pods in op 1 voor PodDisruptionBudget-resources | Als u de maximaal beschikbare podwaarde instelt op 1, zorgt u ervoor dat uw toepassing of service beschikbaar is tijdens een onderbreking | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u readOnlyRootFileSystem in de Pod-specificatie in init-containers in op waar als deze niet is ingesteld. | Als u readOnlyRootFileSystem instelt op true, wordt de beveiliging verhoogd door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven. Dit werkt alleen voor Linux-containers. | Dempen, uitgeschakeld | 1.1.0-preview |
| [Preview]: Hiermee stelt u readOnlyRootFileSystem in de podspecificatie in op waar als deze niet is ingesteld. | Het instellen van readOnlyRootFileSystem op true verhoogt de beveiliging door te voorkomen dat containers in het hoofdbestandssysteem worden geschreven | Dempen, uitgeschakeld | 1.1.0-preview |
| Kubernetes-clusters met Azure Arc moeten de Azure Policy-extensie hebben geïnstalleerd | De Azure Policy-extensie voor Azure Arc biedt op schaal afdwinging en beveiliging op uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier. Meer informatie op https://aka.ms/akspolicydoc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Kubernetes-clusters met Azure Arc moeten de Open Service Mesh-extensie hebben geïnstalleerd | Open Service Mesh-extensie biedt alle standaardservice mesh-mogelijkheden voor beveiliging, verkeerbeheer en waarneembaarheid van toepassingsservices. U vindt hier meer informatie: https://aka.ms/arc-osm-doc | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Kubernetes-clusters met Azure Arc moeten de Strimzi Kafka-extensie hebben geïnstalleerd | De Strimzi Kafka-extensie biedt de operators om Kafka te installeren voor het bouwen van realtime gegevenspijplijnen en streamingtoepassingen met beveiligings- en waarneembaarheidsmogelijkheden. Meer informatie hier: https://aka.ms/arc-strimzikafka-doc. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Azure Kubernetes-clusters moeten Container Storage Interface (CSI) inschakelen | De Container Storage Interface (CSI) is een standaard voor het beschikbaar maken van willekeurige blok- en bestandsopslagsystemen voor containerworkloads in Azure Kubernetes Service. Voor meer informatie, https://aka.ms/aks-csi-driver | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes-clusters moeten KMS (Key Management Service) inschakelen | Gebruik KMS (Key Management Service) om geheime gegevens in rust te versleutelen in etcd voor kubernetes-clusterbeveiliging. Zie voor meer informatie: https://aka.ms/aks/kmsetcdencryption. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes-clusters moeten Gebruikmaken van Azure CNI | Azure CNI is een vereiste voor sommige Azure Kubernetes Service-functies, waaronder Azure-netwerkbeleid, Windows-knooppuntgroepen en invoegtoepassingen voor virtuele knooppunten. Meer informatie vindt u op: https://aka.ms/aks-azure-cni | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service-clusters moeten opdracht aanroepen uitschakelen | Het aanroepen van opdrachten kan de beveiliging verbeteren door te voorkomen dat beperkte netwerktoegang of op rollen gebaseerd toegangsbeheer van Kubernetes wordt overgeslagen | Controle, uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van clusters inschakelen | Automatische upgrade van AKS-clusters kan ervoor zorgen dat uw clusters up-to-date zijn en niet de nieuwste functies of patches van AKS en upstream Kubernetes missen. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-cluster. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service-clusters moeten Image Cleaner inschakelen | Image Cleaner voert automatisch kwetsbare, ongebruikte installatiekopieënidentificatie en verwijdering uit, waardoor het risico op verouderde afbeeldingen wordt beperkt en de tijd wordt beperkt die nodig is om ze op te schonen. Zie voor meer informatie: https://aka.ms/aks/image-cleaner. | Controle, uitgeschakeld | 1.0.0 |
| Integratie van Microsoft Entra-id's inSchakelen voor Azure Kubernetes Service Clusters | Door AKS beheerde Microsoft Entra ID-integratie kan de toegang tot de clusters beheren door op rollen gebaseerd toegangsbeheer (Kubernetes RBAC) van Kubernetes te configureren op basis van de identiteit of het lidmaatschap van een directorygroep van een gebruiker. Zie voor meer informatie: https://aka.ms/aks-managed-aad. | Controle, uitgeschakeld | 1.0.2 |
| Azure Kubernetes Service Clusters moeten automatische upgrade van knooppuntbesturingssysteem inschakelen | Beveiligingsupdates op knooppuntniveau van het besturingssysteem van AKS-knooppunten worden automatisch bijgewerkt. Zie voor meer informatie: https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | Controle, uitgeschakeld | 1.0.0 |
| Azure Kubernetes Service Clusters moeten workloadidentiteit inschakelen | Met workloadidentiteit kunt u een unieke identiteit toewijzen aan elke Kubernetes-pod en deze koppelen aan met Azure AD beveiligde resources, zoals Azure Key Vault, waardoor beveiligde toegang tot deze resources vanuit de pod mogelijk is. Zie voor meer informatie: https://aka.ms/aks/wi. | Controle, uitgeschakeld | 1.0.0 |
| Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om beveiligingsgegevens te verzamelen. Meer informatie over Microsoft Defender for Containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Controle, uitgeschakeld | 2.0.1 |
| Voor Azure Kubernetes Service-clusters moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Kubernetes Service-clusters uitsluitend Azure Active Directory-identiteiten voor verificatie vereisen. Zie voor meer informatie: https://aka.ms/aks-disable-local-accounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Kubernetes Service Clusters moeten beheerde identiteiten gebruiken | Gebruik beheerde identiteiten om service-principals te verpakken, clusterbeheer te vereenvoudigen en de complexiteit te voorkomen die vereist is voor beheerde service-principals. Meer informatie vindt u op: https://aka.ms/aks-update-managed-identities | Controle, uitgeschakeld | 1.0.1 |
| Privéclusters van Azure Kubernetes Service moeten zijn ingeschakeld | Schakel de functie privécluster voor uw Azure Kubernetes Service-cluster in om ervoor te zorgen dat netwerkverkeer tussen uw API-server en uw knooppuntgroepen alleen in het privénetwerk blijft. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| De Azure Policy-invoegtoepassing voor Kubernetes (AKS) moet worden geïnstalleerd en ingeschakeld op uw clusters | De invoegtoepassing voor beheerbeleid van Azure Kubernetes (AKS) voorziet in uitbreiding van Gatekeeper v3, een webhook voor de toegangscontroller voor Open Policy Agent (OPA) waarmee afdwinging en beveiliging op schaal en via gecentraliseerde, consistente manier worden toegepast op uw clusters. | Controle, uitgeschakeld | 1.0.2 |
| Zowel besturingssystemen als gegevensschijven in Azure Kubernetes Service-clusters moeten worden versleuteld met door de klant beheerde sleutels | Het versleutelen van besturingssysteem- en gegevensschijven met door de klant beheerde sleutels biedt meer controle en flexibiliteit in sleutelbeheer. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Kubernetes-clusters met Azure Arc configureren om de Azure Policy-extensie te installeren | Implementeer de extensie van Azure Policy voor Azure Arc om afdwinging op schaal te bieden en uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier te beveiligen. Meer informatie op https://aka.ms/akspolicydoc. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Azure Kubernetes Service-clusters configureren om Defender-profiel in te schakelen | Microsoft Defender for Containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.Defender inschakelt in uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om gegevens van beveiligingsevenementen te verzamelen. Meer informatie over Microsoft Defender for Containers: https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks. | DeployIfNotExists, uitgeschakeld | 4.1.0 |
| Installatie van Flux-extensie configureren in Kubernetes-cluster | De Flux-extensie installeren op het Kubernetes-cluster om de implementatie van 'fluxconfigurations' in het cluster in te schakelen | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met bucketbron en geheimen in KeyVault | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie is een Bucket SecretKey vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-CA-certificaat | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS CA-certificaat vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en HTTPS-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een HTTPS-sleutelgeheim vereist dat is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en lokale geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van Git-opslagplaats en SSH-geheimen | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim van een persoonlijke SSH-sleutel vereist die is opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met flux v2-configuratie met behulp van een openbare Git-opslagplaats | Implementeer een 'fluxConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met de opgegeven Flux v2 Bucket-bron met behulp van lokale geheimen | Implementeer een fluxConfiguration in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde bucket. Voor deze definitie zijn lokale verificatiegeheimen vereist die zijn opgeslagen in het Kubernetes-cluster. Ga voor instructies naar https://aka.ms/GitOpsFlux2Policy. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met https-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn HTTPS-gebruikers- en sleutelgeheimen vereist die zijn opgeslagen in Key Vault. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie zonder geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie zijn geen geheimen vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Kubernetes-clusters configureren met een opgegeven GitOps-configuratie met behulp van SSH-geheimen | Implementeer een 'sourceControlConfiguration' in Kubernetes-clusters om ervoor te zorgen dat de clusters hun bron van waarheid krijgen voor workloads en configuraties uit de gedefinieerde Git-opslagplaats. Voor deze definitie is een geheim voor een persoonlijke SSH-sleutel in Key Vault vereist. Ga voor instructies naar https://aka.ms/K8sGitOpsPolicy. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, disabled, Disabled | 1.1.0 |
| Microsoft Entra ID geïntegreerde Azure Kubernetes-serviceclusters configureren met vereiste Beheer groepstoegang | Zorg ervoor dat de clusterbeveiliging wordt verbeterd door de toegang van Beheer istrator tot geïntegreerde AKS-clusters van Microsoft Entra ID centraal te beheren. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Automatische upgrade van knooppuntbesturingssysteem configureren in Azure Kubernetes-cluster | Gebruik automatische upgrade van het knooppuntbesturingssysteem om beveiligingsupdates op knooppuntniveau van AKS-clusters (Azure Kubernetes Service) te beheren. Ga voor meer informatie naar https://learn.microsoft.com/en-us/azure/aks/auto-upgrade-node-image. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Implementeren - Diagnostische instellingen configureren voor Azure Kubernetes Service naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Kubernetes Service geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Azure Policy-invoegtoepassing implementeren op Azure Kubernetes Service-clusters | Gebruik een Azure Policy-invoegtoepassing voor het beheren en rapporteren van de compatibiliteitsstatus van uw AKS-clusters (Azure Kubernetes Service). Zie https://aka.ms/akspolicydoc voor meer informatie. | DeployIfNotExists, uitgeschakeld | 4.1.0 |
| Image Cleaner implementeren in Azure Kubernetes Service | Image Cleaner implementeren in Azure Kubernetes-clusters. Ga voor meer informatie naar https://aka.ms/aks/image-cleaner | DeployIfNotExists, uitgeschakeld | 1.0.4 |
| Gepland onderhoud implementeren om upgrades voor uw AKS-cluster (Azure Kubernetes Service) te plannen en beheren | Met gepland onderhoud kunt u wekelijks onderhoudsvensters plannen om updates uit te voeren en de impact van de werkbelasting te minimaliseren. Als de planning is gepland, worden er alleen upgrades uitgevoerd tijdens het venster dat u hebt geselecteerd. Meer informatie vindt u op: https://aka.ms/aks/planned-maintenance | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Opdracht aanroepen uitschakelen in Azure Kubernetes Service-clusters | Door opdracht aanroepen uit te schakelen, kan de beveiliging worden verbeterd door de toegang tot de aanroepopdracht tot het cluster te weigeren | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Zorg ervoor dat clustercontainers gereedheids- of livenesstests hebben geconfigureerd | Dit beleid dwingt af dat alle pods gereedheids- en/of livenesstests hebben geconfigureerd. Testtypen kunnen elk van tcpSocket, httpGet en exec zijn. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Ga voor instructies voor de toepassing van dit beleid naar https://aka.ms/kubepolicydoc. | Controleren, Weigeren, Uitgeschakeld | 3.2.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes-clustercontainers mogen geen naamruimten van de hostproces-id of host-IPC delen | Voorkomen dat podcontainers de hostproces-id-naamruimte en host-IPC-naamruimte delen in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.2 en CIS 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes cluster containers should not use forbidden sysctl interfaces (Kubernetes-clustercontainers mogen geen gebruik maken van verboden sysctl-interfaces) | Containers mogen geen verboden sysctl-interfaces gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes cluster containers should only use allowed ProcMountType (Kubernetes-clustercontainers mogen alleen gebruik maken van het toegestane ProcMountType) | Podcontainers kunnen alleen toegestane ProcMountTypes gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.1 |
| Kubernetes-clustercontainers mogen alleen toegestane pull-beleid gebruiken | Het pull-beleid van containers beperken om containers af te dwingen om alleen toegestane installatiekopieën voor implementaties te gebruiken | Controleren, Weigeren, Uitgeschakeld | 3.1.0 |
| Kubernetes cluster containers should only use allowed seccomp profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane seccomp-profielen) | Podcontainers kunnen alleen toegestane seccomp-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes cluster pod FlexVolume volumes should only use allowed drivers (FlexVolume-volumes van pods in een Kubernetes-cluster mogen alleen toegestane stuurprogramma's gebruiken) | Pod FlexVolume-volumes mogen alleen toegestane stuurprogramma's gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.1 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.1 |
| Kubernetes cluster pods and containers should only use allowed SELinux options (Kubernetes-clusterpods en -containers mogen alleen toegestane SELinux-opties gebruiken) | Pods en containers mogen alleen toegestane SELinux-opties gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.1 |
| Kubernetes cluster pods should only use allowed volume types (Kubernetes-clusterpods mogen alleen toegestane volumetypen gebruiken) | Pods kunnen alleen toegestane volumetypen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.1 |
| Kubernetes cluster pods should only use approved host network and port range (Kubernetes-clusterpods mogen alleen toegestane hostnetwerken en poortbereiken gebruiken) | Beperk de podtoegang tot het hostnetwerk en het toegestane hostpoortbereik in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.1.0 |
| Kubernetes-clusterpods moeten opgegeven labels gebruiken | Gebruik opgegeven labels om de pods in een Kubernetes-cluster te identificeren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusterservices mogen alleen toegestane externe IP-adressen gebruiken | Gebruik toegestane externe IP-adressen om de mogelijke aanval (CVE-2020-8554) in een Kubernetes-cluster te voorkomen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.1.0 |
| Kubernetes-cluster mag geen naakte pods gebruiken | Gebruik van naakte pods blokkeren. Naakte pods worden niet opnieuw gepland in het geval van een knooppuntfout. Pods moeten worden beheerd door Implementatie, Replicset, Daemonset of Taken | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Windows-containers voor Kubernetes-clusters mogen niet te veel CPU en geheugen overcommitteren | Windows-containerresourceaanvragen moeten kleiner of gelijk zijn aan de resourcelimiet of niet zijn opgegeven om overcommit te voorkomen. Als Windows-geheugen te veel is ingericht, worden pagina's op schijf verwerkt , wat de prestaties kan vertragen - in plaats van de container met onvoldoende geheugen te beëindigen | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Windows-containers voor Kubernetes-clusters mogen niet worden uitgevoerd als container Beheer istrator | Voorkom het gebruik van Container Beheer istrator als de gebruiker om de containerprocessen voor Windows-pods of -containers uit te voeren. Deze aanbeveling is bedoeld om de beveiliging van Windows-knooppunten te verbeteren. Zie voor meer informatie https://kubernetes.io/docs/concepts/windows/intro/ . | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Windows-containers voor Kubernetes-clusters mogen alleen worden uitgevoerd met goedgekeurde gebruikers- en domeingebruikersgroep | Bepaal de gebruiker die Windows-pods en -containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van Het beveiligingsbeleid voor pods op Windows-knooppunten die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Kubernetes met Azure Arc. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.1.0 |
| Kubernetes-clusters moeten ervoor zorgen dat de rol clusterbeheerder alleen wordt gebruikt waar nodig | De rol 'clusterbeheerder' biedt uitgebreide bevoegdheden over de omgeving en moet alleen worden gebruikt wanneer en wanneer dat nodig is. | Controle, uitgeschakeld | 1.0.0 |
| Kubernetes-clusters moeten het gebruik van jokertekens in rol- en clusterrol minimaliseren | Het gebruik van jokertekens '*' kan een beveiligingsrisico zijn omdat hiermee brede machtigingen worden verleend die mogelijk niet nodig zijn voor een specifieke rol. Als een rol te veel machtigingen heeft, kan deze mogelijk worden misbruikt door een aanvaller of gecompromitteerde gebruiker om onbevoegde toegang te krijgen tot resources in het cluster. | Controle, uitgeschakeld | 1.0.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 7.1.0 |
| Kubernetes-clusters mogen geen machtigingen voor eindpuntbewerkingen van ClusterRole/system:aggregate-to-edit toestaan | ClusterRole/system:aggregate-to-edit mag geen machtigingen voor eindpuntbewerking toestaan vanwege CVE-2021-25740, Endpoint & EndpointSlice-machtigingen staan doorsturen tussen namen toe, https://github.com/kubernetes/kubernetes/issues/103675. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controle, uitgeschakeld | 3.1.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen geen specifieke beveiligingsopties gebruiken | Gebruik geen specifieke beveiligingsopties in Kubernetes-clusters om niet-toegestane bevoegdheden te voorkomen op de Pod-resource. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.1.0 |
| Kubernetes-clusters moeten gebruikmaken van het stuurprogramma StorageClass (Container Storage Interface) (CSI) | De Container Storage Interface (CSI), een standaard voor het beschikbaar maken van willekeurige blok- en opslagsystemen in workloads in containers op Kubernetes. In-tree provisioner StorageClass moet worden afgeschaft sinds AKS versie 1.21. Voor meer informatie, https://aka.ms/aks-csi-driver | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Kubernetes-clusters moeten gebruikmaken van interne load balancers | Gebruik interne load balancers om een Kubernetes-service alleen toegankelijk te maken voor toepassingen die worden uitgevoerd in hetzelfde virtuele netwerk als het Kubernetes-cluster. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.1.0 |
| Kubernetes-resources moeten vereiste aantekeningen hebben | Zorg ervoor dat de vereiste aantekeningen zijn gekoppeld aan een bepaald Kubernetes-resourcetype voor verbeterd resourcebeheer van uw Kubernetes-resources. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Kubernetes met Azure Arc. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 3.1.0 |
| Resourcelogboeken in Azure Kubernetes Service moeten zijn ingeschakeld | De resourcelogboeken van Azure Kubernetes Service kunnen helpen bij het opnieuw maken van activiteitentrails bij het onderzoeken van beveiligingsincidenten. Schakel deze in om ervoor te zorgen dat de logboeken bestaan wanneer dat nodig is | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Tijdelijke schijven en cache voor agentknooppuntgroepen in Azure Kubernetes Service-clusters moeten worden versleuteld op de host | Ter verbetering van de gegevensbeveiliging moeten de gegevens die zijn opgeslagen op de VM-host (virtuele machine) van uw Azure Kubernetes Service-knooppunten, in rust worden versleuteld. Dit is een algemene vereiste in veel regelgevings- en compliancestandaarden. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
Lab Services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Lab Services moet alle opties voor automatisch afsluiten inschakelen | Dit beleid biedt u inzicht in kostenbeheer door af te dwingen dat alle opties voor automatisch afsluiten zijn ingeschakeld voor een lab. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Lab Services mag virtuele sjabloonmachines niet toestaan voor labs | Dit beleid voorkomt het maken en aanpassen van virtuele sjablonen voor labs die worden beheerd via Lab Services. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Lab Services moet een niet-beheerder voor labs vereisen | Voor dit beleid moeten niet-beheerdersaccounts worden gemaakt voor de labs die worden beheerd via labservices. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Lab Services moet toegestane SKU-grootten van virtuele machines beperken | Met dit beleid kunt u bepaalde COMPUTE VM-SKU's beperken voor labs die worden beheerd via Lab Services. Hiermee worden bepaalde grootten van virtuele machines beperkt. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
Lighthouse
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Het beheren van tenant-id's voor onboarding via Azure Lighthouse toestaan | Door Azure Lighthouse-delegeringen te beperken tot specifieke beheertenants, wordt de beveiliging verbeterd door de gebruikers te beperken die uw Azure-resources kunnen beheren. | deny | 1.0.1 |
| Bereikdelegering naar een beherende tenant controleren | Bereikdelegering naar een beherende tenant via Azure Lighthouse controleren. | Controle, uitgeschakeld | 1.0.0 |
Logic Apps
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Logic Apps Integration Service Environment moet worden versleuteld met door de klant beheerde sleutels | Implementeer in Integration Service Environment om versleuteling at rest van Logic Apps-gegevens te beheren met behulp van door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Logic Apps moet worden geïmplementeerd in Integration Service Environment | Het implementeren van Logic Apps in Integration Service Environment in een virtueel netwerk ontgrendelt geavanceerde Logic Apps-netwerk- en beveiligingsfuncties en biedt u meer controle over uw netwerkconfiguratie. Zie voor meer informatie: https://aka.ms/integration-service-environment. Door te implementeren in Integration Service Environment is versleuteling ook mogelijk met door de klant beheerde sleutels die verbeterde gegevensbeveiliging bieden door u toe te staan uw versleutelingssleutels te beheren. Dit is vaak om te voldoen aan nalevingsvereisten. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
Machine Learning
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Registerimplementaties van Azure Machine Learning-modellen zijn beperkt, met uitzondering van het toegestane register | Implementeer alleen registermodellen in het toegestane register en die niet zijn beperkt. | Weigeren, Uitgeschakeld | 1.0.0-preview |
| Azure Machine Learning Compute Instance moet inactief zijn afgesloten. | Als u een inactiviteitsschema hebt, vermindert u de kosten door berekeningen af te sluiten die niet actief zijn na een vooraf bepaalde periode van activiteit. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning-rekeninstanties moeten opnieuw worden gemaakt om de nieuwste software-updates op te halen | Zorg ervoor dat Azure Machine Learning-rekeninstanties worden uitgevoerd op het meest recente beschikbare besturingssysteem. Beveiliging wordt verbeterd en beveiligingsproblemen worden verminderd door te worden uitgevoerd met de nieuwste beveiligingspatches. U vindt meer informatie op https://aka.ms/azureml-ci-updates/. | [parameters('effecten')] | 1.0.3 |
| Azure Machine Learning Computes moet zich in een virtueel netwerk bevinden | Azure Virtual Networks bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning Compute-clusters en -exemplaren, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Wanneer een berekening is geconfigureerd met een virtueel netwerk, is het niet openbaar adresseerbaar en kan deze alleen worden geopend vanuit virtuele machines en toepassingen binnen het virtuele netwerk. | Controle, uitgeschakeld | 1.0.1 |
| Azure Machine Learning Computes moet lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Voor Machine Learning Computes uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Azure Machine Learning-werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning-werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.0.3 |
| Azure Machine Learning-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Machine Learning-werkruimten niet beschikbaar zijn op het openbare internet. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Azure Machine Learning-werkruimten moeten V1LegacyMode inschakelen om achterwaartse compatibiliteit met netwerkisolatie te ondersteunen | Azure ML maakt een overgang naar een nieuw V2 API-platform in Azure Resource Manager en u kunt de VERSIE van het API-platform beheren met behulp van de parameter V1LegacyMode. Als u de parameter V1LegacyMode inschakelt, kunt u uw werkruimten in dezelfde netwerkisolatie houden als V1, maar u hebt geen gebruik van de nieuwe V2-functies. Het is raadzaam om de verouderde V1-modus alleen in te schakelen wanneer u de gegevens van het AzureML-besturingsvlak in uw privénetwerken wilt bewaren. Zie voor meer informatie: https://aka.ms/V1LegacyMode. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten gebruikmaken van Private Link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Machine Learning-werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Controle, uitgeschakeld | 1.0.0 |
| Azure Machine Learning-werkruimten moeten een door de gebruiker toegewezen beheerde identiteit gebruiken | Toegang tot de Azure ML-werkruimte en bijbehorende resources, Azure Container Registry, KeyVault, Storage en App Insights met behulp van door de gebruiker toegewezen beheerde identiteit. Standaard wordt door het systeem toegewezen beheerde identiteit door de Azure ML-werkruimte gebruikt voor toegang tot de gekoppelde resources. Door de gebruiker toegewezen beheerde identiteit kunt u de identiteit maken als een Azure-resource en de levenscyclus van die identiteit onderhouden. Meer informatie op https://docs.microsoft.com/azure/machine-learning/how-to-use-managed-identities?tabs=python. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Machine Learning Computes configureren om lokale verificatiemethoden uit te schakelen | Schakel locatieverificatiemethoden uit, zodat voor uw Machine Learning Computes uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Wijzigen, uitgeschakeld | 2.1.0 |
| Azure Machine Learning-werkruimte configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Machine Learning-werkruimten. Zie voor meer informatie: https://docs.microsoft.com/azure/machine-learning/how-to-network-security-overview. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Azure Machine Learning-werkruimten configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor Azure Machine Learning-werkruimten uit, zodat uw werkruimten niet toegankelijk zijn via het openbare internet. Dit helpt de werkruimten te beschermen tegen risico's van gegevenslekken. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Wijzigen, uitgeschakeld | 1.0.3 |
| Azure Machine Learning-werkruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Machine Learning-werkruimte, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Azure Machine Learning-werkruimten naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure Machine Learning-werkruimten geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een Azure Machine Learning-werkruimte waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Resourcelogboeken in Azure Machine Learning-werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Beheerde toepassing
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| De toepassingsdefinitie voor de beheerde toepassing moet gebruikmaken van een door de klant verstrekt opslagaccount | Gebruik uw eigen opslagaccount om de toepassingsdefinitiegegevens te beheren wanneer dit een regelgevings- of compliance-vereiste is. U kunt ervoor kiezen om de definitie van de beheerde toepassing op te slaan in een opslagaccount dat u tijdens het maken hebt opgegeven, zodat u de locatie en toegang volledig zelf kunt beheren om te voldoen aan uw wettelijke compliance-vereisten. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Koppelingen voor een beheerde toepassing implementeren | Implementeert een koppelingsbron die geselecteerde resourcetypen koppelt aan de opgegeven beheerde toepassing. Deze beleidsimplementatie biedt geen ondersteuning voor geneste resourcetypen. | deployIfNotExists | 1.0.0 |
Managed Grafana
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Managed Grafana moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan Managed Grafana, kunt u risico's voor gegevenslekken verminderen. | Controle, uitgeschakeld | 1.0.0 |
| Azure Managed Grafana-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Managed Grafana-werkruimte niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw werkruimten beperken. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Managed Grafana-dashboards configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan Azure Managed Grafana, kunt u risico's voor gegevenslekken verminderen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Managed Grafana-werkruimten configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang uit voor uw Azure Managed Grafana-werkruimte, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Managed Grafana-werkruimten configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Azure Managed Grafana-werkruimten. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Beheerde identiteit
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Federatieve referenties van beheerde identiteit van Azure Kubernetes moeten afkomstig zijn van vertrouwde bronnen | Dit beleid beperkt federeation met Azure Kubernetes-clusters tot alleen clusters van goedgekeurde tenants, goedgekeurde regio's en een specifieke uitzonderingslijst met extra clusters. | Controleren, uitgeschakeld, weigeren | 1.0.0-preview |
| [Preview]: Federatieve referenties voor beheerde identiteiten van GitHub moeten afkomstig zijn van eigenaren van vertrouwde opslagplaatsen | Dit beleid beperkt federatie met GitHub-opslagplaatsen tot alleen goedgekeurde eigenaren van opslagplaatsen. | Controleren, uitgeschakeld, weigeren | 1.0.1-preview |
| [Preview]: Federatieve referenties voor beheerde identiteit moeten afkomstig zijn van toegestane typen verleners | Dit beleid beperkt of beheerde identiteiten federatieve referenties kunnen gebruiken, welke algemene typen verleners zijn toegestaan en een lijst met toegestane uitzonderingen voor verleners. | Controleren, uitgeschakeld, weigeren | 1.0.0-preview |
| [Preview]: Ingebouwde door de gebruiker toegewezen beheerde identiteit toewijzen aan virtuele-machineschaalsets | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele-machineschaalsets. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.1.0-preview |
| [Preview]: Ingebouwde door de gebruiker toegewezen beheerde identiteit toewijzen aan virtuele machines | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit toe of wijs een vooraf gemaakte door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele machines. Ga naar aka.ms/managedidentitypolicy voor meer gedetailleerde documentatie. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.1.0-preview |
Maps
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| CORS mag niet toestaan dat elke resource toegang heeft tot uw kaartaccount. | CorS (Cross-Origin Resource Sharing) mag niet toestaan dat alle domeinen toegang hebben tot uw kaartaccount. Sta alleen vereiste domeinen toe om te communiceren met uw kaartaccount. | Uitgeschakeld, Controleren, Weigeren | 1.0.0 |
Media Services
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Media Services-accounts moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat Media Services-resources niet beschikbaar zijn op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van Media Services-resources beperken. Zie voor meer informatie: https://aka.ms/mediaservicesprivatelinkdocs. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services-accounts moeten een API gebruiken die ondersteuning biedt voor Private Link | Media Services-accounts moeten worden gemaakt met een API die ondersteuning biedt voor private link. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services-accounts die toegang tot de verouderde v2-API toestaan, moeten worden geblokkeerd | Met de verouderde v2-API van Media Services kunnen aanvragen worden beheerd die niet kunnen worden beheerd met behulp van Azure Policy. Media Services-resources die zijn gemaakt met de API 2020-05-01 of hoger, blokkeren de toegang tot de verouderde v2-API. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beleidsregels voor inhoudssleutels van Azure Media Services moeten gebruikmaken van tokenverificatie | Beleidsregels voor inhoudssleutels definiëren de voorwaarden waaraan moet worden voldaan voor toegang tot inhoudssleutels. Een tokenbeperking zorgt ervoor dat inhoudssleutels alleen toegankelijk zijn voor gebruikers die geldige tokens van een verificatieservice hebben, bijvoorbeeld Microsoft Entra-id. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Media Services-taken met HTTPS-invoer moeten invoer-URI's beperken tot toegestane URI-patronen | Beperk HTTPS-invoer die door Media Services-taken wordt gebruikt tot bekende eindpunten. Invoer van HTTPS-eindpunten kan volledig worden uitgeschakeld door een lege lijst met toegestane taakinvoerpatronen in te stellen. Wanneer taakinvoer een 'baseUri' opgeeft, worden de patronen vergeleken met deze waarde; wanneer 'baseUri' niet is ingesteld, wordt het patroon vergeleken met de eigenschap 'bestanden'. | Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Media Services moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Media Services-accounts te beheren. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/mediaservicescmkdocs. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Media Services moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Media Services, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/mediaservicesprivatelinkdocs. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Media Services configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in een Media Services-account. Zie voor meer informatie: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Media Services configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te passen aan Media Services, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/mediaservicesprivatelinkdocs. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Migrate
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Migrate-resources configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in uw Azure Migrate-project. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Mobiele netwerk
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Diagnostische toegang voor pakketkernbeheervlak configureren voor het gebruik van het verificatietype Microsoft EntraID | Authenticaton-type moet Microsoft EntraID zijn voor diagnostische toegang voor pakketkernen via lokale API's | Wijzigen, uitgeschakeld | 1.0.0 |
| Diagnostische toegang voor pakketkernbesturingsvlak mag alleen gebruikmaken van het verificatietype Microsoft EntraID | Authenticaton-type moet Microsoft EntraID zijn voor diagnostische toegang voor pakketkernen via lokale API's | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| SIM-groep moet door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van SIM-geheimen in een SIM-groep te beheren. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving en maken het mogelijk om de gegevens te versleutelen met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Controleren
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Linux-machines met Azure Arc configureren met Log Analytics-agents die zijn verbonden met de standaard Log Analytics-werkruimte | Beveilig uw Linux-machines met Azure Arc met Microsoft Defender voor Cloud mogelijkheden door Log Analytics-agents te installeren die gegevens verzenden naar een standaard Log Analytics-werkruimte die is gemaakt door Microsoft Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Windows-machines met Azure Arc configureren met Log Analytics-agents die zijn verbonden met de standaard Log Analytics-werkruimte | Beveilig uw Windows-machines met Azure Arc met Microsoft Defender voor Cloud mogelijkheden door Log Analytics-agents te installeren die gegevens verzenden naar een standaard Log Analytics-werkruimte die is gemaakt door Microsoft Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.1.0-preview |
| [Preview]: Door het systeem toegewezen beheerde identiteit configureren om Azure Monitor-toewijzingen in te schakelen op VM's | Configureer door het systeem toegewezen beheerde identiteit voor virtuele machines die worden gehost in Azure die worden ondersteund door Azure Monitor en die geen door het systeem toegewezen beheerde identiteit hebben. Een door het systeem toegewezen beheerde identiteit is een vereiste voor alle Azure Monitor-toewijzingen en moet worden toegevoegd aan machines voordat u een Azure Monitor-extensie gebruikt. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | Wijzigen, uitgeschakeld | 6.0.0-preview |
| [Preview]: Log Analytics-extensie moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 2.0.1-preview |
| [Preview]: De Log Analytics-extensie moet worden geïnstalleerd op uw Linux Azure Arc-machines | Met dit beleid worden Linux Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
| [Preview]: De Log Analytics-extensie moet zijn geïnstalleerd op uw Windows Azure Arc-machines | Met dit beleid worden Windows Azure Arc-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [Preview]: Agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Windows-machines | Security Center gebruikt Microsoft Dependency Agent om gegevens van netwerkverkeer te verzamelen van uw virtuele machines van Azure om geavanceerde netwerkbeveiligingsfuncties in te schakelen zoals visualisatie van verkeer op het netwerkoverzicht, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| Het activiteitenlogboek moet ten minste één jaar worden bewaard | Met dit beleid wordt het activiteitenlogboek gecontroleerd als de bewaarperiode niet is ingesteld op 365 dagen of permanent (bewaarperiode ingesteld op 0). | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen | Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Application Insights-onderdelen moeten logboekopname en query's vanuit openbare netwerken blokkeren | Verbeter de beveiliging van Application Insights door logboekopname en query's vanuit openbare netwerken te blokkeren. Alleen met private link verbonden netwerken kunnen logboeken van dit onderdeel opnemen en er query's op uitvoeren. Meer informatie op https://aka.ms/AzMonPrivateLink#configure-application-insights. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Application Insights-onderdelen moeten opname op basis van niet-Azure Active Directory blokkeren. | Het afdwingen van logboekopname om Azure Active Directory-verificatie te vereisen voorkomt niet-geverifieerde logboeken van een aanvaller die kan leiden tot onjuiste status, valse waarschuwingen en onjuiste logboeken die zijn opgeslagen in het systeem. | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Application Insights-onderdelen waarvoor Private Link is ingeschakeld, moeten Gebruikmaken van Bring Your Own Storage-accounts voor profiler en foutopsporingsprogramma. | Maak uw eigen opslagaccount voor profiler en foutopsporingsprogramma om private link- en door de klant beheerd sleutelbeleid te ondersteunen. Meer informatie vindt u in https://docs.microsoft.com/azure/azure-monitor/app/profiler-bring-your-own-storage | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Diagnostische instelling voor geselecteerde resourcetypen controleren | Controleer diagnostische instelling voor geselecteerde resourcetypen Zorg ervoor dat u alleen resourcetypen selecteert die diagnostische instellingen ondersteunen. | AuditIfNotExists | 2.0.1 |
| Azure-toepassing Gateway moet resourcelogboeken hebben ingeschakeld | Schakel resourcelogboeken in voor Azure-toepassing Gateway (plus WAF) en stream naar een Log Analytics-werkruimte. Krijg gedetailleerde inzicht in inkomend webverkeer en acties die worden ondernomen om aanvallen te beperken. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure Front Door moeten resourcelogboeken zijn ingeschakeld | Schakel resourcelogboeken in voor Azure Front Door (plus WAF) en stream naar een Log Analytics-werkruimte. Krijg gedetailleerde inzicht in inkomend webverkeer en acties die worden ondernomen om aanvallen te beperken. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Front Door Standard of Premium (Plus WAF) moet resourcelogboeken hebben ingeschakeld | Schakel resourcelogboeken in voor Azure Front Door Standard of Premium (plus WAF) en stream naar een Log Analytics-werkruimte. Krijg gedetailleerde inzicht in inkomend webverkeer en acties die worden ondernomen om aanvallen te beperken. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Waarschuwingen voor Azure Log Search voor Log Analytics-werkruimten moeten gebruikmaken van door de klant beheerde sleutels | Zorg ervoor dat Azure Log Search-waarschuwingen door de klant beheerde sleutels implementeren door de querytekst op te slaan met behulp van het opslagaccount dat de klant had opgegeven voor de log analytics-werkruimte met query's. U vindt meer informatie op https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën ‘schrijven’, ‘verwijderen’ en ‘actie’ | Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie' | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Monitor-logboekclusters moeten worden gemaakt met infrastructuurversleuteling ingeschakeld (dubbele versleuteling) | Gebruik een toegewezen Azure Monitor-cluster om ervoor te zorgen dat beveiligde gegevensversleuteling is ingeschakeld op serviceniveau en het infrastructuurniveau met twee verschillende versleutelingsalgoritmen en twee verschillende sleutels. Deze optie is standaard ingeschakeld wanneer deze wordt ondersteund in de regio, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Monitor-logboekclusters moeten worden versleuteld met door de klant beheerde sleutel | Maak een Azure Monitor-logboekcluster met versleuteling van door de klant beheerde sleutels. Standaard worden de logboekgegevens versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving. Door de klant beheerde sleutel in Azure Monitor biedt u meer controle over de toegang tot uw gegevens, zie https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Monitor-logboeken voor Application Insights moeten worden gekoppeld aan een Log Analytics-werkruimte | Koppel het Application Insights-onderdeel aan een Log Analytics-werkruimte voor logboekversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw gegevens in Azure Monitor. Als u uw onderdeel koppelt aan een Log Analytics-werkruimte die is ingeschakeld met een door de klant beheerde sleutel, zorgt u ervoor dat uw Application Insights-logboeken voldoen aan deze nalevingsvereiste.https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Het bereik van Azure Monitor Private Link moet de toegang tot niet-private link-resources blokkeren | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-resources via een privé-eindpunt met een Azure Monitor Private Link-bereik (AMPLS). Private Link-toegangsmodi worden ingesteld op uw AMPLS om te bepalen of opname- en queryaanvragen van uw netwerken alle resources kunnen bereiken, of alleen Private Link-resources (om gegevensexfiltratie te voorkomen). Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Monitor Private Link-bereik moet private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te brengen aan het bereik privékoppelingen van Azure Monitor, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelen | Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| De Azure Monitor-oplossing Beveiliging en audit moet worden geïmplementeerd | Dit beleid zorgt ervoor dat Beveiliging en audit wordt geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebben | Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure-activiteitenlogboeken configureren om te streamen naar de opgegeven Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure-activiteit geïmplementeerd om auditlogboeken van abonnementen te streamen naar een Log Analytics-werkruimte om gebeurtenissen op abonnementsniveau te bewaken | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure-toepassing Insights-onderdelen configureren om openbare netwerktoegang voor logboekopname en query's uit te schakelen | Schakel opname van onderdelenlogboeken en query's uit vanuit openbare netwerken om de beveiliging te verbeteren. Alleen met private link verbonden netwerken kunnen logboeken in deze werkruimte opnemen en er query's op uitvoeren. Meer informatie op https://aka.ms/AzMonPrivateLink#configure-application-insights. | Wijzigen, uitgeschakeld | 1.1.0 |
| Azure Log Analytics-werkruimten configureren om openbare netwerktoegang voor logboekopname en query's uit te schakelen | Verbeter de beveiliging van werkruimten door logboekopname en query's vanuit openbare netwerken te blokkeren. Alleen met private link verbonden netwerken kunnen logboeken in deze werkruimte opnemen en er query's op uitvoeren. Meer informatie op https://aka.ms/AzMonPrivateLink#configure-log-analytics. | Wijzigen, uitgeschakeld | 1.1.0 |
| Azure Monitor Private Link-bereik configureren om de toegang tot niet-private link-resources te blokkeren | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-resources via een privé-eindpunt met een Azure Monitor Private Link-bereik (AMPLS). Private Link-toegangsmodi worden ingesteld op uw AMPLS om te bepalen of opname- en queryaanvragen van uw netwerken alle resources kunnen bereiken, of alleen Private Link-resources (om gegevensexfiltratie te voorkomen). Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#private-link-access-modes-private-only-vs-open. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Monitor Private Link-bereik configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in het bereik van een privékoppeling van Azure Monitor. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security#connect-to-a-private-endpoint. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Monitor Private Link-bereiken configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan Azure Monitor Private Link-bereiken, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/azure-monitor/logs/private-link-security. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Afhankelijkheidsagent configureren op Linux-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de extensie voor de virtuele machine van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent configureren op Linux-servers met Azure Arc met Azure Monitoring Agent-instellingen | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de vm-extensie van de afhankelijkheidsagent te installeren met azure Monitoring Agent-instellingen. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Afhankelijkheidsagent configureren op Windows-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via servers met Arc door de extensie voor de virtuele machine van de afhankelijkheidsagent te installeren. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent configureren op Windows-servers met Azure Arc met Azure Monitoring Agent-instellingen | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de vm-extensie van de afhankelijkheidsagent te installeren met azure Monitoring Agent-instellingen. VM-inzichten maken gebruik van de afhankelijkheidsagent voor het verzamelen van metrische netwerkgegevens en gedetecteerde gegevens over processen die worden uitgevoerd op de computer en afhankelijkheden van externe processen. Zie meer - https://aka.ms/vminsightsdocs. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Linux Arc-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om Linux Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Linux Arc-machines configureren om Azure Monitor Agent uit te voeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Linux Arc-machines voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als de regio wordt ondersteund. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Linux-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 6.3.0 |
| Virtuele-machineschaalsets voor Linux configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele-machineschaalsets van Linux te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.2.0 |
| Virtuele-machineschaalsets voor Linux configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.5.0 |
| Virtuele-machineschaalsets voor Linux configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machineschaalsets voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.6.0 |
| Virtuele Linux-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele Linux-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.2.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door het systeem toegewezen beheerde verificatie op basis van identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.5.0 |
| Virtuele Linux-machines configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Linux-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.6.0 |
| Configureer de Log Analytics-extensie op Linux-servers met Azure Arc. Zie de afschaffingsmelding hieronder | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de Log Analytics-extensie voor virtuele machines te installeren. VM-inzichten maken gebruik van de Log Analytics-agent om de prestatiegegevens van het gastbesturingssystemen te verzamelen en geeft inzicht in hun prestaties. Zie meer - https://aka.ms/vminsightsdocs. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | DeployIfNotExists, uitgeschakeld | 2.1.1 |
| Log Analytics-extensie configureren op Windows-servers met Azure Arc | Schakel VM-inzichten in op servers en machines die zijn verbonden met Azure via Arc-servers door de Log Analytics-extensie voor virtuele machines te installeren. VM-inzichten maken gebruik van de Log Analytics-agent om de prestatiegegevens van het gastbesturingssystemen te verzamelen en geeft inzicht in hun prestaties. Zie meer - https://aka.ms/vminsightsdocs. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.1.1 |
| Log Analytics-werkruimte en automation-account configureren om logboeken en bewaking te centraliseren | Implementeer een resourcegroep met een Log Analytics-werkruimte en een gekoppeld Automation-account om logboeken en bewaking te centraliseren. Het Automation-account is aprerequisite voor oplossingen zoals Updates en Wijzigingen bijhouden. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0 |
| Windows Arc-machines configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om Windows Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties wordt na verloop van tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Windows Arc-machines configureren om Azure Monitor Agent uit te voeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw Windows Arc-machines voor het verzamelen van telemetriegegevens van het gastbesturingssysteem. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 2.4.0 |
| Windows-machines configureren die moeten worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Implementeer koppeling om virtuele Windows-machines, virtuele-machineschaalsets en Arc-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 4.5.0 |
| Virtuele-machineschaalsets van Windows configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele-machineschaalsets van Windows te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Virtuele-machineschaalsets van Windows configureren om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 3.4.0 |
| Virtuele-machineschaalsets van Windows configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele-machineschaalsets van Windows voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Virtuele Windows-machines configureren die worden gekoppeld aan een regel voor gegevensverzameling of een eindpunt voor gegevensverzameling | Koppeling implementeren om virtuele Windows-machines te koppelen aan de opgegeven regel voor gegevensverzameling of het opgegeven eindpunt voor gegevensverzameling. De lijst met locaties en installatiekopieën van het besturingssysteem wordt in de loop van de tijd bijgewerkt naarmate de ondersteuning wordt verhoogd. | DeployIfNotExists, uitgeschakeld | 3.3.0 |
| Virtuele Windows-machines configureren om Azure Monitor Agent uit te voeren met behulp van door het systeem toegewezen beheerde identiteit | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd als het besturingssysteem en de regio worden ondersteund en door het systeem toegewezen beheerde identiteit is ingeschakeld en de installatie anders overslaan. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 4.4.0 |
| Virtuele Windows-machines configureren om Azure Monitor Agent uit te voeren met door de gebruiker toegewezen verificatie op basis van beheerde identiteiten | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows-machines voor het verzamelen van telemetriegegevens van het gastbesturingssystemen. Met dit beleid wordt de extensie geïnstalleerd en geconfigureerd voor het gebruik van de opgegeven door de gebruiker toegewezen beheerde identiteit als het besturingssysteem en de regio worden ondersteund en sla anders de installatie over. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele machines als niet-compatibel als de installatiekopieën van de virtuele machine niet in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Afhankelijkheidsagent moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. De lijst met installatiekopieën van het besturingssysteem wordt na verloop van tijd bijgewerkt wanneer de ondersteuning wordt bijgewerkt. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Implementeren- Afhankelijkheidsagent configureren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows | Implementeer afhankelijkheidsagent voor virtuele-machineschaalsets van Windows als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren- Afhankelijkheidsagent configureren die moet worden ingeschakeld op virtuele Windows-machines | Implementeer afhankelijkheidsagent voor virtuele Windows-machines als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren - Diagnostische instellingen configureren voor een Log Analytics-werkruimte die moet worden ingeschakeld in Azure Key Vault Managed HSM | Hiermee worden de diagnostische instellingen voor beheerde HSM van Azure Key Vault geïmplementeerd om te streamen naar een regionale Log Analytics-werkruimte wanneer een door Azure Key Vault beheerde HSM waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Log Analytics-extensie configureren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows | Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets van Windows als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Implementeren - Log Analytics-extensie configureren die moet worden ingeschakeld op virtuele Windows-machines | Implementeer de Log Analytics-extensie voor virtuele Windows-machines als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 3.1.0 |
| Afhankelijkheidsagent implementeren voor virtuele-machineschaalsets van Linux | Implementeer Afhankelijkheidsagent voor virtuele-machineschaalsets voor Linux als de VM-installatiekopie (besturingssysteem) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | deployIfNotExists | 5.0.0 |
| Afhankelijkheidsagent implementeren voor virtuele-machineschaalsets in Linux met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele-machineschaalsets in Linux met azure Monitoring Agent-instellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze virtuele machines aan te roepen. In CLI zou dit az vmss update-instances zijn. | DeployIfNotExists, uitgeschakeld | 3.1.1 |
| Dependency agent implementeren voor virtuele Linux-machines | Implementeer Dependency agent voor virtuele Linux-machines als de VM-installatiekopie (besturingssysteem) voorkomt in de gedefinieerde lijst en de agent niet is geïnstalleerd. | deployIfNotExists | 5.0.0 |
| Afhankelijkheidsagent implementeren voor virtuele Linux-machines met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele Linux-machines met azure Monitoring Agent-instellingen als de VM-installatiekopieën (OS) in de gedefinieerde lijst staat en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 3.1.1 |
| Afhankelijkheidsagent implementeren die moet worden ingeschakeld op virtuele-machineschaalsets van Windows met azure Monitoring Agent-instellingen | Implementeer afhankelijkheidsagent voor virtuele-machineschaalsets van Windows met azure Monitoring Agent-instellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomt en de agent niet is geïnstalleerd. Als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door ze bij te werken. | DeployIfNotExists, uitgeschakeld | 1.2.2 |
| Afhankelijkheidsagent implementeren die moet worden ingeschakeld op virtuele Windows-machines met azure Monitoring Agent-instellingen | Implementeer de afhankelijkheidsagent voor virtuele Windows-machines met azure Monitoring Agent-instellingen als de installatiekopieën van de virtuele machine in de gedefinieerde lijst voorkomen en de agent niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 1.2.2 |
| Diagnostische instellingen implementeren voor Batch-account naar Event Hub | Hiermee worden de diagnostische instellingen voor Batch-account geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Batch-account waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Batch-account naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Batch-account geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Batch-account waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen implementeren voor Data Lake Analytics naar Event Hub | Hiermee worden de diagnostische instellingen geïmplementeerd waarmee Data Lake Analytics naar een regionale Event Hub worden gestreamd wanneer Data Lake Analytics waarvoor deze diagnostische instellingen ontbreken, worden gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Data Lake Analytics naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Data Lake Analytics geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Data Lake Analytics waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen implementeren voor Data Lake Storage Gen1 naar Event Hub | Hiermee worden de diagnostische instellingen voor Data Lake Storage Gen1 geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Data Lake Storage Gen1 waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Data Lake Storage Gen1 naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Data Lake Storage Gen1 geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Data Lake Storage Gen1 waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen implementeren voor Event Hub naar Event Hub | Hiermee worden de diagnostische instellingen voor Event Hub geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Event Hub waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Diagnostische instellingen implementeren voor Event Hub naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Event Hub geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Event Hub waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Key Vault naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Key Vault geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Key Vault waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| Diagnostische instellingen implementeren voor Logic Apps naar Event Hub | Hiermee worden de diagnostische instellingen voor Logic Apps geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Logic App waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Logic Apps naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Logic Apps geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Logic App waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen voor netwerkbeveiligingsgroepen implementeren | Met dit beleid worden automatisch diagnostische instellingen voor netwerkbeveiligingsgroepen geïmplementeerd. Er wordt automatisch een opslagaccount met de naam {storagePrefixParameter}{NSGLocation} gemaakt. | deployIfNotExists | 2.0.1 |
| Diagnostische instellingen implementeren voor Zoekservices naar Event Hub | Hiermee worden de diagnostische instellingen voor Zoekservices geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Zoekservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Zoekservices naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Zoekservices geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Zoekservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnose-instellingen implementeren voor Service Bus naar Event Hub | Hiermee worden de diagnostische instellingen voor Service Bus geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Service Bus waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnose-instellingen implementeren voor Service Bus naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Service Bus geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Service Bus waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Diagnostische instellingen implementeren voor Stream Analytics naar Event Hub | Hiermee worden de diagnostische instellingen voor Stream Analytics geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Stream Analytics waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Diagnostische instellingen implementeren voor Stream Analytics naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Stream Analytics geïmplementeerd en naar een regionale Log Analytics-werkruimte gestreamd wanneer een Stream Analytics waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets voor Linux. Zie de afschaffingsmelding hieronder | Implementeer de Log Analytics-extensie voor virtuele-machineschaalsets voor Linux als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Opmerking: als uw schaalset upgradePolicy is ingesteld op Handmatig, moet u de extensie toepassen op alle virtuele machines in de set door een upgrade voor deze VM's aan te roepen. In CLI zou dit az vmss update-instances zijn. Afschaffingsmelding: De Log Analytics-agent wordt na 31 augustus 2024 niet ondersteund. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | deployIfNotExists | 3.0.0 |
| Implementeer de Log Analytics-extensie voor Linux-VM's. Zie de afschaffingsmelding hieronder | Implementeer de Log Analytics-extensie voor Linux-VM's als de VM-installatiekopieën (OS) in de gedefinieerde lijst voorkomt en de extensie niet is geïnstalleerd. Afschaffingsmelding: De Log Analytics-agent bevindt zich op een afschaffingspad en wordt niet ondersteund na 31 augustus 2024. U moet vóór die datum migreren naar de vervangende Azure Monitor-agent | deployIfNotExists | 3.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Log Analytics-werkruimte te routeren voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor API Management-services (microsoft.apimanagement/service) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor API Management-services (microsoft.apimanagement/service). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor App Configuration (microsoft.appconfiguration/configurationstores) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor App Configuration (microsoft.appconfiguration/configurationstores) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor App Configuration (microsoft.appconfiguration/configurationstores) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor App Configuration (microsoft.appconfiguration/configurationstores). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor App Service (microsoft.web/sites) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor toepassingsgroep (microsoft.desktopvirtualization/applicationgroups) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor azure Virtual Desktop-toepassingsgroep (microsoft.desktopvirtualization/applicationgroups). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Application Insights (Microsoft.Insights/components) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Application Insights (Microsoft.Insights/onderdelen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Attestation-providers (microsoft.attestation/attestationproviders) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Attestation-providers (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Attestation-providers (microsoft.attestation/attestationproviders) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Attestation-providers (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Attestation-providers (microsoft.attestation/attestationproviders) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Attestation-providers (microsoft.attestation/attestationproviders). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Automation-accounts (microsoft.automation/automationaccounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie per categoriegroep inschakelen voor Automation-accounts (microsoft.automation/automationaccounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Automation-accounts (microsoft.automation/automationaccounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Automation-accounts (microsoft.automation/automationaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor AVS-privéclouds (microsoft.avs/privateclouds) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor AVS-privéclouds (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor AVS-privéclouds (microsoft.avs/privateclouds) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor AVS-privéclouds (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor AVS-privéclouds (microsoft.avs/privateclouds) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor AVS-privéclouds (microsoft.avs/privateclouds). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Cache voor Redis (microsoft.cache/redis) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub te routeren voor Azure Cache voor Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Cache voor Redis (microsoft.cache/redis) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Cache voor Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Cache voor Redis (microsoft.cache/redis) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Azure Cache voor Redis (microsoft.cache/redis). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Cosmos DB (microsoft.documentdb/databaseaccounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Cosmos DB (microsoft.documentdb/databaseaccounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Azure FarmBeats (microsoft.agfoodplatform/farmbeats). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Azure Machine Learning (microsoft.machinelearningservices/werkruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Bastions (microsoft.network/bastionhosts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Bastions (microsoft.network/bastionhosts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Bastions (microsoft.network/bastionhosts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Bastions (microsoft.network/bastionhosts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Cognitive Services (microsoft.cognitiveservices/accounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Cognitive Services (microsoft.cognitiveservices/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/registries) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/-registers) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor containerregisters (microsoft.containerregistry/registries) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor containerregisters (microsoft.containerregistry/registries). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-domeinen (microsoft.eventgrid/domeinen) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Event Grid-domeinen (microsoft.eventgrid/domeinen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-domeinen (microsoft.eventgrid/domeinen) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Event Grid-domeinen (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-domeinen (microsoft.eventgrid/domeinen) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Event Grid-domeinen (microsoft.eventgrid/domains). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernamespaces) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernaamruimten) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernamespaces) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernaamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernamespaces) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een opslagaccount voor Event Grid-partnernaamruimten (microsoft.eventgrid/partnernaamruimten) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-onderwerpen (microsoft.eventgrid/topics) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Event Grid-onderwerpen (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-onderwerpen (microsoft.eventgrid/topics) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Event Grid-onderwerpen (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Grid-onderwerpen (microsoft.eventgrid/topics) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Event Grid-onderwerpen (microsoft.eventgrid/topics). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Log Analytics-werkruimte te routeren voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een opslagaccount voor Event Hubs-naamruimten (microsoft.eventhub/naamruimten) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Firewall (microsoft.network/azurefirewalls) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Firewall (microsoft.network/azurefirewalls). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.cdn/profiles) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Front Door- en CDN-profielen (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.cdn/profiles) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Front Door- en CDN-profielen (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.cdn/profiles) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Front Door- en CDN-profielen (microsoft.cdn/profiles). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.network/frontdoors) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Front Door- en CDN-profielen (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.network/frontdoors) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Front Door- en CDN-profielen (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Front Door- en CDN-profielen (microsoft.network/frontdoors) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Front Door- en CDN-profielen (microsoft.network/frontdoors). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Functie-app (microsoft.web/sites) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor functie-app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor hostgroep (microsoft.desktopvirtualization/hostpools) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Virtual Desktop Host-pool (microsoft.desktopvirtualization/hostpools). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor IoT Hub (microsoft.devices/iothubs) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor IoT Hub (microsoft.devices/iothubs). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub voor Key Vaults (microsoft.keyvault/vaults) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Sleutelkluizen (microsoft.keyvault/vaults). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor sleutelkluizen (microsoft.keyvault/kluizen) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor sleutelkluizen (microsoft.keyvault/kluizen). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Log Analytics-werkruimten (microsoft.operationalinsights/workspaces). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor beheerde HSM's (microsoft.keyvault/managedhsms) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor beheerde HSM's (microsoft.keyvault/managedhsms). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Media Services (microsoft.media/mediaservices) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Media Services (microsoft.media/mediaservices) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Media Services (microsoft.media/mediaservices) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Media Services (microsoft.media/mediaservices). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Microsoft Purview-accounts (microsoft.purview/accounts) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Microsoft Purview-accounts (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Microsoft Purview-accounts (microsoft.purview/accounts) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Microsoft Purview-accounts (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Microsoft Purview-accounts (microsoft.purview/accounts) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Microsoft Purview-accounts (microsoft.purview/accounts). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.network/p2svpngateways naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.network/p2svpngateways naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor microsoft.network/p2svpngateways naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor microsoft.network/p2svpngateways. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Flexibele PostgreSQL-server (microsoft.dbforpostgresql/flexibleservers) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor flexibele Azure Database for PostgreSQL-server (microsoft.dbforpostgresql/flexibleservers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor openbare IP-adressen (microsoft.network/publicipaddresses) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor openbare IP-adressen (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor openbare IP-adressen (microsoft.network/publicipaddresses) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor openbare IP-adressen (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor openbare IP-adressen (microsoft.network/publicipaddresses) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor openbare IP-adressen (microsoft.network/publicipaddresses). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Service Bus-naamruimten (microsoft.servicebus/naamruimten) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Service Bus-naamruimten (microsoft.servicebus/naamruimten). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor SignalR (microsoft.signalrservice/signalr) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor SignalR (microsoft.signalrservice/signalr) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor SignalR (microsoft.signalrservice/signalr) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor SignalR (microsoft.signalrservice/signalr). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.2.0 |
| Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor SQL-databases (microsoft.sql/servers/databases) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor SQL-databases (microsoft.sql/servers/databases). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor met SQL beheerde exemplaren (microsoft.sql/managedinstances) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor met SQL beheerde exemplaren (microsoft.sql/managedinstances). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Video Analyzers (microsoft.media/videoanalyzers) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub voor Video Analyzers (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Video Analyzers (microsoft.media/videoanalyzers) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Video Analyzers (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Video Analyzers (microsoft.media/videoanalyzers) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor Video Analyzers (microsoft.media/videoanalyzers). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor virtuele netwerkgateways (microsoft.network/virtualnetworkgateways). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Event Hub for Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor volumes (microsoft.netapp/netappaccounts/capacitypools/volumes) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor volumes (microsoft.netapp/netappaccounts/capacitypools/volumes). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Web PubSub Service (microsoft.signalrservice/webpubsub) naar Event Hub | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken naar een Event Hub voor Web PubSub Service (microsoft.signalrservice/webpubsub) te routeren. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.1.0 |
| Logboekregistratie inschakelen op categoriegroep voor Web PubSub Service (microsoft.signalrservice/webpubsub) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Web PubSub Service (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Web PubSub Service (microsoft.signalrservice/webpubsub) naar Storage | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een opslagaccount voor de Web PubSub-service (microsoft.signalrservice/webpubsub). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Logboekregistratie inschakelen op categoriegroep voor Werkruimte (microsoft.desktopvirtualization/workspaces) naar Log Analytics | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Met dit beleid wordt een diagnostische instelling geïmplementeerd met behulp van een categoriegroep om logboeken te routeren naar een Log Analytics-werkruimte voor Azure Virtual Desktop Workspace (microsoft.desktopvirtualization/workspaces). | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 1.0.0 |
| Op Linux Arc-machines moet Azure Monitor Agent zijn geïnstalleerd | Linux Arc-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden machines met Arc in ondersteunde regio's gecontroleerd. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Voor virtuele Linux-machineschaalsets moet Azure Monitor Agent zijn geïnstalleerd | Virtuele-machineschaalsets van Linux moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele-machineschaalsets gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Voor virtuele Linux-machines moet Azure Monitor Agent zijn geïnstalleerd | Virtuele Linux-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Met dit beleid worden virtuele machines gecontroleerd met ondersteunde installatiekopieën van besturingssystemen in ondersteunde regio's. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| De Log Analytics-extensie moet zijn ingeschakeld in virtuele-machineschaalsets voor vermelde installatiekopieën van virtuele machines | Rapporteert virtuele-machineschaalsets als niet-compatibel als de installatiekopieën van de virtuele machine niet in de lijst zijn gedefinieerd en de extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Log Analytics-werkruimten moeten logboekopname en query's vanuit openbare netwerken blokkeren | Verbeter de beveiliging van werkruimten door logboekopname en query's vanuit openbare netwerken te blokkeren. Alleen met private link verbonden netwerken kunnen logboeken in deze werkruimte opnemen en er query's op uitvoeren. Meer informatie op https://aka.ms/AzMonPrivateLink#configure-log-analytics. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Log Analytics-werkruimten moeten opname op basis van niet-Azure Active Directory blokkeren. | Het afdwingen van logboekopname om Azure Active Directory-verificatie te vereisen voorkomt niet-geverifieerde logboeken van een aanvaller die kan leiden tot onjuiste status, valse waarschuwingen en onjuiste logboeken die zijn opgeslagen in het systeem. | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| Voor openbare IP-adressen moeten resourcelogboeken zijn ingeschakeld voor Azure DDoS Protection | Schakel resourcelogboeken in voor openbare IP-adressen in diagnostische instellingen om naar een Log Analytics-werkruimte te streamen. Krijg gedetailleerde zichtbaarheid van aanvalsverkeer en acties die worden uitgevoerd om DDoS-aanvallen te beperken via meldingen, rapporten en stroomlogboeken. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.1 |
| Resourcelogboeken moeten zijn ingeschakeld voor controle op ondersteunde resources | Resourcelogboeken moeten zijn ingeschakeld om activiteiten en gebeurtenissen bij te houden die plaatsvinden op uw resources en om u inzicht te geven in wijzigingen die zich voordoen. Het bestaan van een diagnostische instelling voor categoriegroep Controleren op de geselecteerde resourcetypen zorgt ervoor dat deze logboeken zijn ingeschakeld en vastgelegd. Toepasselijke resourcetypen zijn resourcetypen die ondersteuning bieden voor de categoriegroep Controle. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Opgeslagen query's in Azure Monitor moeten worden opgeslagen in het opslagaccount van de klant voor versleuteling van logboeken | Koppel het opslagaccount aan de Log Analytics-werkruimte om opgeslagen query's te beveiligen met opslagaccountversleuteling. Door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan naleving van regelgeving en voor meer controle over de toegang tot uw opgeslagen query's in Azure Monitor. Zie voor meer informatie over het bovenstaande https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK | Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Linux-servers met Azure Arc | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Linux-servers met Azure Arc. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op Windows-servers met Azure Arc | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op Windows-servers met Azure Arc. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets van Linux | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, wordt met dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele-machineschaalsets van Linux geweigerd. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele Linux-machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele Linux-machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele-machineschaalsets | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, wordt met dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele-machineschaalsets van Windows geweigerd. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De verouderde Log Analytics-extensie mag niet worden geïnstalleerd op virtuele machines | Voorkom automatisch de installatie van de verouderde Log Analytics-agent als de laatste stap van het migreren van verouderde agents naar Azure Monitor Agent. Nadat u bestaande verouderde extensies hebt verwijderd, weigert dit beleid alle toekomstige installaties van de verouderde agentextensie op virtuele Windows-machines. Meer informatie: https://aka.ms/migratetoAMA | Weigeren, Controleren, Uitgeschakeld | 1.0.0 |
| De Log Analytics-extensie moet worden geïnstalleerd op virtuele-machineschaalsets | Met dit beleid worden alle virtuele-machineschaalsets van Windows/Linux gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Virtuele machines moeten zijn verbonden met een opgegeven werkruimte | Rapporteert virtuele machines als niet-compatibel als ze zich niet aanmelden bij de Log Analytics-werkruimte die is opgegeven in de toewijzing van het beleid/initiatief. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Op virtuele machines moet de Log Analytics-extensie zijn geïnstalleerd | Met dit beleid worden alle virtuele Windows-/Linux-machines gecontroleerd als de Log Analytics-extensie niet is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Op Windows Arc-machines moet Azure Monitor Agent zijn geïnstalleerd | Windows Arc-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Windows Arc-machines in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| Voor virtuele-machineschaalsets van Windows moet Azure Monitor Agent zijn geïnstalleerd | Virtuele-machineschaalsets van Windows moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Virtuele-machineschaalsets met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Voor virtuele Windows-machines moet Azure Monitor Agent zijn geïnstalleerd | Virtuele Windows-machines moeten worden bewaakt en beveiligd via de geïmplementeerde Azure Monitor-agent. De Azure Monitor-agent verzamelt telemetriegegevens van het gastbesturingssystemen. Virtuele Windows-machines met ondersteund besturingssysteem en in ondersteunde regio's worden bewaakt voor implementatie van Azure Monitor Agent. Meer informatie: https://aka.ms/AMAOverview. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Werkmappen moeten worden opgeslagen in opslagaccounts die u beheert | Met uw eigen opslag (BYOS) kunt u uw werkmappen uploaden naar een opslagaccount dat u beheert. Dit betekent dat u het beleid voor versleuteling bij rust, het levensduurbeheerbeleid en de netwerktoegang beheert. U bent echter verantwoordelijk voor de kosten van het betreffende opslagaccount. U vindt meer informatie op https://aka.ms/workbooksByos. | weigeren, weigeren, controleren, controleren, uitgeschakeld, uitgeschakeld | 1.1.0 |
Netwerk
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige van uw subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
| [Preview]: Container Registry moet een service-eindpunt voor een virtueel netwerk gebruiken | Met dit beleid worden alle exemplaren van Container Registry gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0-preview |
| Er moet een aangepast IPSec/IKE-beleid worden toegepast op alle gatewayverbindingen met virtuele Azure-netwerken | Dit beleid zorgt ervoor dat alle gatewayverbindingen met virtuele Azure-netwerken een aangepast IPSec/IKE-beleid hebben (Internet Protocol Security/Internet Key Exchange). Ondersteunde algoritmen en sleutelsterkten: https://aka.ms/AA62kb0 | Controle, uitgeschakeld | 1.0.0 |
| Alle resources voor stroomlogboeken moeten de status Ingeschakeld hebben | Controleer of stroomlogboekbronnen zijn ingeschakeld om te controleren of de status van het stroomlogboek is ingeschakeld. Als u stroomlogboeken inschakelt, kunt u logboekinformatie over HET IP-verkeer vastleggen. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.0.1 |
| App Service-apps moeten een service-eindpunt voor een virtueel netwerk gebruiken | Gebruik service-eindpunten voor virtuele netwerken om de toegang tot uw app te beperken vanuit geselecteerde subnetten van een virtueel Azure-netwerk. Ga voor meer informatie over App Service-service-eindpunten naar https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Configuratie van stroomlogboeken voor elk virtueel netwerk controleren | Controleer of stroomlogboeken zijn geconfigureerd voor een virtueel netwerk. Als u stroomlogboeken inschakelt, kunt u informatie vastleggen over IP-verkeer dat via een virtueel netwerk stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.0.1 |
| Azure-toepassing Gateway moet worden geïmplementeerd met Azure WAF | Hiervoor moeten Azure-toepassing Gateway-resources worden geïmplementeerd met Azure WAF. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Firewall-beleid moet TLS-inspectie inschakelen binnen toepassingsregels | Het inschakelen van TLS-inspectie wordt aanbevolen voor alle toepassingsregels voor het detecteren, waarschuwen en beperken van schadelijke activiteiten in HTTPS. Ga voor meer informatie over TLS-inspectie met Azure Firewall naar https://aka.ms/fw-tlsinspect | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Firewall Premium moet een geldig tussencertificaat configureren om TLS-inspectie in te schakelen | Configureer een geldig tussenliggend certificaat en schakel Azure Firewall Premium TLS-inspectie in om schadelijke activiteiten in HTTPS te detecteren, waarschuwen en beperken. Ga voor meer informatie over TLS-inspectie met Azure Firewall naar https://aka.ms/fw-tlsinspect | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure-VPN-gateways mogen geen Basic-SKU's gebruiken | Dit beleid zorgt ervoor dat VPN-gateways geen Basic-SKU's gebruiken. | Controle, uitgeschakeld | 1.0.0 |
| Azure Web Application Firewall op Azure-toepassing Gateway moet de controle van de hoofdtekst van de aanvraag hebben ingeschakeld | Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure-toepassing-gateways de controle van de aanvraagbody hebben ingeschakeld. Hierdoor kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Web Application Firewall in Azure Front Door moet de controle van de aanvraagbody zijn ingeschakeld | Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure Front Doors de inspectie van de aanvraagbody hebben ingeschakeld. Hierdoor kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door-invoerpunten | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Bot Protection moet zijn ingeschakeld voor Azure-toepassing Gateway WAF | Dit beleid zorgt ervoor dat botbeveiliging is ingeschakeld in alle WAF-beleidsregels (Web Application Firewall) van Azure-toepassing Gateway | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bot Protection moet zijn ingeschakeld voor Azure Front Door WAF | Dit beleid zorgt ervoor dat botbeveiliging is ingeschakeld in alle WAF-beleidsregels (Azure Front Door Web Application Firewall) | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Bypass list of Intrusion Detection and Prevention System (IDPS) moet leeg zijn in Firewall Policy Premium | Met de bypasslijst voor inbraakdetectie en -preventie (IDPS) kunt u verkeer niet filteren op een van de IP-adressen, bereiken en subnetten die zijn opgegeven in de bypasslijst. Het inschakelen van IDPS wordt echter opnieuw aanbevolen voor alle verkeersstromen om bekende bedreigingen beter te identificeren. Voor meer informatie over de handtekeningen van het inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium, gaat u naar https://aka.ms/fw-idps-signature | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Azure-netwerkbeveiligingsgroepen naar Log Analytics-werkruimte | Implementeer diagnostische instellingen in Azure-netwerkbeveiligingsgroepen om resourcelogboeken naar een Log Analytics-werkruimte te streamen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Netwerkbeveiligingsgroepen configureren om traffic analytics in te schakelen | Traffic Analytics kan worden ingeschakeld voor alle netwerkbeveiligingsgroepen die worden gehost in een bepaalde regio met de instellingen die tijdens het maken van het beleid zijn opgegeven. Als Traffic Analytics al is ingeschakeld, worden de instellingen van het beleid niet overschreven. Stroomlogboeken zijn ook ingeschakeld voor de netwerkbeveiligingsgroepen die deze niet hebben. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Netwerkbeveiligingsgroepen configureren voor het gebruik van specifieke werkruimte, opslagaccount en retentiebeleid voor stroomlogboeken voor verkeersanalyse | Als traffic analytics al is ingeschakeld, overschrijft het beleid de bestaande instellingen met de instellingen die zijn opgegeven tijdens het maken van het beleid. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Virtueel netwerk configureren om Stroomlogboek en Traffic Analytics in te schakelen | Verkeersanalyse- en stroomlogboeken kunnen worden ingeschakeld voor alle virtuele netwerken die in een bepaalde regio worden gehost met de instellingen die tijdens het maken van het beleid worden geleverd. Dit beleid overschrijft de huidige instelling niet voor virtuele netwerken waarvoor deze functie al is ingeschakeld. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.1.1 |
| Virtuele netwerken configureren voor het afdwingen van werkruimte, opslagaccount en retentie-interval voor stroomlogboeken en Traffic Analytics | Als verkeeranalyse al is ingeschakeld voor een virtueel netwerk, overschrijft dit beleid de bestaande instellingen met de instellingen die tijdens het maken van het beleid zijn opgegeven. Traffic Analytics is een cloudoplossing die inzicht biedt in gebruikers- en toepassingsactiviteiten in cloudnetwerken. | DeployIfNotExists, uitgeschakeld | 1.1.2 |
| Cosmos DB moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Met dit beleid worden alle exemplaren van Cosmos DB gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Een resource voor een stroomlogboek met een netwerkbeveiligingsgroep implementeren | Hiermee configureert u het stroomlogboek voor een specifieke netwerkbeveiligingsgroep. Hiermee kan informatie over de IP-verkeersstroom in een netwerkbeveiligingsgroep worden geregistreerd in een logboek. Met een stroomlogboek kunt u onbekend of ongewenste verkeer identificeren, de netwerkisolatie en naleving van regels voor bedrijfstoegang controleren en netwerkstromen van gecompromitteerde IP-adressen en netwerkinterfaces analyseren. | deployIfNotExists | 1.1.0 |
| Een stroomlogboekresource implementeren met een virtueel doelnetwerk | Hiermee configureert u het stroomlogboek voor een specifiek virtueel netwerk. Hiermee kunt u informatie vastleggen over IP-verkeer dat via een virtueel netwerk stroomt. Met een stroomlogboek kunt u onbekend of ongewenste verkeer identificeren, de netwerkisolatie en naleving van regels voor bedrijfstoegang controleren en netwerkstromen van gecompromitteerde IP-adressen en netwerkinterfaces analyseren. | DeployIfNotExists, uitgeschakeld | 1.1.1 |
| Network Watcher implementeren wanneer er virtuele netwerken worden gemaakt | Met dit beleid wordt een Network Watcher-resource gemaakt in regio's met virtuele netwerken. U moet ervoor zorgen dat een resourcegroep met de naam networkWatcherRG bestaat, die wordt gebruikt voor het implementeren van exemplaren van Network Watcher. | DeployIfNotExists | 1.0.0 |
| Frequentielimietregel inschakelen om te beveiligen tegen DDoS-aanvallen in Azure Front Door WAF | De frequentielimietregel van Azure Web Application Firewall (WAF) voor Azure Front Door bepaalt het aantal aanvragen dat is toegestaan vanaf een bepaald client-IP-adres voor de toepassing tijdens een duur van de frequentielimiet. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Event Hub moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Met dit beleid worden alle instanties van Event Hub gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Firewall Policy Premium moet alle IDPS-handtekeningregels inschakelen om alle binnenkomende en uitgaande verkeersstromen te bewaken | Het inschakelen van alle handtekeningregels voor inbraakdetectie en -preventie (IDPS) wordt opnieuw aanbevolen om bekende bedreigingen in de verkeersstromen beter te identificeren. Voor meer informatie over de handtekeningen van het inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium, gaat u naar https://aka.ms/fw-idps-signature | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Firewall Policy Premium moet het inbraakdetectie- en preventiesysteem (IDPS) inschakelen | Als u het inbraakdetectie- en preventiesysteem (IDPS) inschakelt, kunt u uw netwerk controleren op schadelijke activiteiten, informatie over deze activiteit vastleggen, rapporteren en eventueel proberen het te blokkeren. Ga voor meer informatie over het Inbraakdetectie- en preventiesysteem (IDPS) met Azure Firewall Premium naar https://aka.ms/fw-idps | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroep | Controleer of stroomlogboeken zijn geconfigureerd voor netwerkbeveiligingsgroepen. Als u stroomlogboeken inschakelt, kunt u logboekgegevens vastleggen over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer. | Controle, uitgeschakeld | 1.1.0 |
| Gatewaysubnetten moeten niet worden geconfigureerd met een netwerkbeveiligingsgroep | Met dit beleid wordt de toegang geweigerd als een gatewaysubnet is geconfigureerd met een netwerkbeveiligingsgroep. Het toewijzen van een netwerkbeveiligingsgroep aan een gatewaysubnet heeft tot gevolg dat de gateway niet meer werkt. | deny | 1.0.0 |
| Key Vault moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van Key Vault gecontroleerd die niet zijn geconfigureerd voor het gebruik van een virtuele-netwerkservice-eindpunt. | Controle, uitgeschakeld | 1.0.0 |
| WAF migreren van WAF-configuratie naar WAF-beleid in Application Gateway | Als u WAF-configuratie hebt in plaats van WAF-beleid, kunt u overschakelen naar het nieuwe WAF-beleid. In de toekomst biedt het firewallbeleid ondersteuning voor WAF-beleidsinstellingen, beheerde regelsets, uitsluitingen en uitgeschakelde regelgroepen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Doorsturen via IP moet in netwerkinterfaces worden uitgeschakeld | Met dit beleid worden de netwerkinterfaces geweigerd waarvoor doorsturen via IP is ingeschakeld. De instelling voor doorsturen via IP zorgt ervoor dat Azure de bron en bestemming voor een netwerkinterface niet controleert. Dit moet worden gecontroleerd door het netwerkbeveiligingsteam. | deny | 1.0.0 |
| Netwerkinterfaces mogen geen openbare IP-adressen hebben | Met dit beleid worden de netwerkinterfaces geweigerd die zijn geconfigureerd met een openbaar IP-adres. Dankzij openbare IP-adressen kunnen internetbronnen in de inkomende richting met Azure-resources communiceren en kunnen Azure-resources in de uitgaande richting communiceren met internet. Dit moet worden gecontroleerd door het netwerkbeveiligingsteam. | deny | 1.0.0 |
| Netwerk Watcher-stroomlogboeken moeten verkeeranalyse hebben ingeschakeld | Traffic Analytics analyseert stroomlogboeken om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Het kan worden gebruikt om netwerkactiviteit in uw Azure-abonnementen te visualiseren en hotspots te identificeren, beveiligingsrisico's te identificeren, verkeersstroompatronen te begrijpen, netwerkfouten vast te stellen en meer. | Controle, uitgeschakeld | 1.0.1 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| SQL Server moet gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle exemplaren van SQL Server gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten gebruikmaken van een virtuele-netwerkservice-eindpunt | Met dit beleid worden alle opslagaccounts gecontroleerd die niet zijn geconfigureerd voor het gebruik van een service-eindpunt voor een virtueel netwerk. | Controle, uitgeschakeld | 1.0.0 |
| Het abonnement moet de Azure Firewall Premium configureren om extra beveiligingslagen te bieden | Azure Firewall Premium biedt geavanceerde bedreigingsbeveiliging die voldoet aan de behoeften van zeer gevoelige en gereguleerde omgevingen. Implementeer Azure Firewall Premium in uw abonnement en zorg ervoor dat al het serviceverkeer wordt beveiligd door Azure Firewall Premium. Ga voor meer informatie over Azure Firewall Premium naar https://aka.ms/fw-premium | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Virtuele machines moeten zijn verbonden met een goedgekeurd virtueel netwerk | Met dit beleid worden virtuele machines gecontroleerd die zijn verbonden met een niet-goedgekeurd virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtuele netwerken moeten worden beveiligd door Azure DDoS Protection | Bescherm uw virtuele netwerken tegen volumetrische en protocolaanvallen met Azure DDoS Protection. U vindt meer informatie op https://aka.ms/ddosprotectiondocs. | Wijzigen, controleren, uitgeschakeld | 1.0.1 |
| Virtuele netwerken moeten gebruikmaken van de opgegeven virtuele-netwerkgateway | Met dit beleid worden alle virtuele netwerken gecontroleerd als de standaardroute niet verwijst naar de opgegeven virtuele-netwerkgateway. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| VPN-gateways mogen alleen Azure Active Directory-verificatie (Azure AD) gebruiken voor punt-naar-site-gebruikers | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat VPN Gateways alleen Azure Active Directory-identiteiten gebruiken voor verificatie. Meer informatie over Azure AD-verificatie vindt u op https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) voor openbare webtoepassingen voor extra inspectie van binnenkomend verkeer. WAF (Web Application Firewall) biedt gecentraliseerde bescherming van uw webtoepassingen, van veelvoorkomende aanvallen tot beveiligingsproblemen, zoals SQL-injecties, aanvallen via scripting op meerdere sites en lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Web Application Firewall (WAF) moet alle firewallregels voor Application Gateway inschakelen | Als u alle WAF-regels (Web Application Firewall) inschakelt, wordt de beveiliging van uw toepassing versterkt en worden uw webtoepassingen beschermd tegen veelvoorkomende beveiligingsproblemen. Voor meer informatie over Web Application Firewall (WAF) met Application Gateway gaat u naar https://aka.ms/waf-ag | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Application Gateway | Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Application Gateway. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Web Application Firewall (WAF) moet de opgegeven modus gebruiken voor Azure Front Door Service | Hiermee wordt machtiging verleend dat de modus Detectie of Preventie actief is voor alle Web Application Firewall-beleidsregels voor Azure Front Door Service. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Portal
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Gedeelde dashboards mogen geen Markdown-tegels met inline-inhoud bevatten | Hiermee staat u niet toe dat een gedeeld dashboard met inline-inhoud op Markdown-tegels kan worden gemaakt en dwingt u af dat de inhoud moet worden opgeslagen als een Markdown-bestand dat online wordt gehost. Als u in de Markdown-tegel inline-inhoud gebruikt, kunt u de versleuteling van de inhoud niet beheren. Door uw eigen opslag te configureren, kunt u versleuteling, dubbele versleuteling en zelfs uw eigen sleutels gebruiken. Als u dit beleid inschakelt, worden gebruikers beperkt tot het gebruik van de versie 2020-09-01-preview of een hogere versie van de REST API voor gedeelde dashboards. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Flexibiliteit
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: API Management-service moet zone-redundant zijn | API Management-service kan worden geconfigureerd als zone-redundant of niet. Een API Management-service is zoneredundant als de SKU-naam Premium is en ten minste twee vermeldingen in de zonesmatrix bevat. Dit beleid identificeert API Management Services die de redundantie mist die nodig is om bestand te zijn tegen een storing in een zone. | Controleren, Weigeren, Uitgeschakeld | 1.0.1-preview |
| [Preview]: App Service-plannen moeten zone-redundant zijn | App Service-plannen kunnen worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundant is ingesteld op false voor een App Service-plan, is deze niet geconfigureerd voor zoneredundantie. Met dit beleid wordt de zoneredundantieconfiguratie voor App Service-plannen geïdentificeerd en afgedwongen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Application Gateways moeten Zone Resilient zijn | Application Gateways kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Application Gatewaysmthat havenexactly één vermelding in hun zones matrix worden beschouwd als zone uitgelijnd. Toepassingsgateways metn3 of meer vermeldingen in hun zonesmatrix worden daarentegen herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure AI Search Service moet zone-redundant zijn | Azure AI Search Service kan worden geconfigureerd als zone-redundant of niet. Beschikbaarheidszones worden gebruikt wanneer u twee of meer replica's toevoegt aan uw zoekservice. Elke replica wordt in een andere beschikbaarheidszone binnen de regio geplaatst. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Cache voor Redis Enterprise & Flash moet zone-redundant zijn | Azure Cache voor Redis Enterprise & Flash kan worden geconfigureerd als zone-redundant of niet. Azure Cache voor Redis Enterprise & Flash-exemplaren met minder dan 3 vermeldingen in hun zonesmatrix zijn niet zone-redundant. Dit beleid identificeert Azure Cache voor Redis Enterprise & Flash-exemplaren die niet over de redundantie beschikken die nodig is om een zonestoring te weerstaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Cache voor Redis moet zone-redundant zijn | Azure Cache voor Redis kan worden geconfigureerd als zone-redundant of niet. Azure Cache voor Redis exemplaren met minder dan 2 vermeldingen in hun zonesmatrix zijn niet zone-redundant. Dit beleid identificeert Azure Cache voor Redis exemplaren die niet over de redundantie beschikken die nodig is om een zonestoring te weerstaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Data Explorer-clusters moeten zone-redundant zijn | Azure Data Explorer-clusters kunnen worden geconfigureerd als zone-redundant of niet. Een Azure Data Explorer-cluster wordt beschouwd als zone-redundant als deze ten minste twee vermeldingen bevat in de matrix zones. Dit beleid zorgt ervoor dat uw Azure Data Explorer-clusters zone-redundant zijn. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Database for MySQL Flexible Server moet Zone Resilient zijn | Azure Database for MySQL Flexibele server kan worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. MySQL-server met een stand-byserver die in dezelfde zone is geselecteerd voor hoge beschikbaarheid, wordt beschouwd als zone uitgelijnd. MySQL-server met een stand-byserver die is geselecteerd in een andere zone voor hoge beschikbaarheid, wordt daarentegen herkend als zoneredundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Database for PostgreSQL Flexible Server moet Zone Resilient zijn | Azure Database for PostgreSQL Flexibele server kan worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. PostgreSQL-server met een stand-byserver die is geselecteerd in dezelfde zone voor hoge beschikbaarheid, wordt beschouwd als zone uitgelijnd. Daarentegen wordt PostgreSQL-server met een stand-byserver die is geselecteerd om zich in een andere zone te bevinden, herkend als zoneredundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure HDInsight moet zijn uitgelijnd op zone | Azure HDInsight kan worden geconfigureerd als zone uitgelijnd of niet. Azure HDInsight met precies één vermelding in de matrix zones wordt beschouwd als zone uitgelijnd. Dit beleid zorgt ervoor dat een Azure HDInsight-cluster is geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Beheerde Azure Kubernetes Service-clusters moeten zone-redundant zijn | Beheerde Azure Kubernetes Service-clusters kunnen worden geconfigureerd als zone-redundant of niet. Het beleid controleert de knooppuntgroepen in het cluster en zorgt ervoor dat beschikbaarheidszones zijn ingesteld voor alle knooppuntgroepen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Managed Grafana moet zone-redundant zijn | Azure Managed Grafana kan worden geconfigureerd als zone-redundant of niet. Een Azure Managed Grafana-exemplaar is zone-redundant, omdat de eigenschap zoneRedundancy is ingesteld op Ingeschakeld. Door dit beleid af te dwingen, zorgt u ervoor dat uw Azure Managed Grafana op de juiste wijze is geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Back-up en Site Recovery moeten zone-redundant zijn | Back-up en Site Recovery kunnen worden geconfigureerd als zone-redundant of niet. Back-up en Site Recovery is zone-redundant als de eigenschap standardTierStorageRedundancy is ingesteld op ZoneRedundant. Door dit beleid af te dwingen, zorgt u ervoor dat Backup en Site Recovery op de juiste wijze zijn geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Back-upkluizen moeten zone-redundant zijn | Back-upkluizen kunnen worden geconfigureerd als zone-redundant of niet. Back-upkluizen zijn zone-redundant als het type opslaginstellingen is ingesteld op ZoneRedundant en ze worden beschouwd als tolerant. Geografisch redundante of lokaal redundante back-upkluizen worden niet beschouwd als tolerant. Door dit beleid af te dwingen, zorgt u ervoor dat Backup Vaults op de juiste wijze zijn geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Container-app moet zone-redundant zijn | Container-app kan worden geconfigureerd als zone-redundant of niet. Een container-app is zone-redundant als de eigenschap ZoneRedundant van de beheerde omgeving is ingesteld op waar. Dit beleid identificeert container-app die niet beschikt over de redundantie die nodig is om een zonestoring te weerstaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Container Instances moeten zone zijn uitgelijnd | Container Instances kunnen worden geconfigureerd als zone uitgelijnd of niet. Ze worden beschouwd als zone uitgelijnd als ze slechts één vermelding hebben in hun zonesmatrix. Dit beleid zorgt ervoor dat ze zijn geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Container Registry moet zone-redundant zijn | Container Registry kan worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundancy voor een Container Registry is ingesteld op Uitgeschakeld, betekent dit dat het register niet zoneredundant is. Door dit beleid af te dwingen, zorgt u ervoor dat uw Container Registry op de juiste wijze is geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Cosmos Database-accounts moeten zone-redundant zijn | Cosmos Database-accounts kunnen worden geconfigureerd als zone-redundant of niet. Als de 'enableMultipleWriteLocations' is ingesteld op true, moeten alle locaties een eigenschap 'isZoneRedundant' hebben en moet deze worden ingesteld op 'true'. Als enableMultipleWriteLocations is ingesteld op false, moet de primaire locatie ('failoverPriority' ingesteld op 0) een eigenschap isZoneRedundant hebben en moet deze worden ingesteld op 'true'. Als u dit beleid afdwingt, zorgt u ervoor dat Cosmos Database-accounts op de juiste wijze zijn geconfigureerd voor zoneredundantie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Event Hubs moeten zone-redundant zijn | Event Hubs kunnen worden geconfigureerd als zoneredundant of niet. Event Hubs zijn zone-redundant als de eigenschap zoneRedundant is ingesteld op 'true'. Door dit beleid af te dwingen, zorgt u ervoor dat Event Hubs op de juiste wijze zijn geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Firewalls moeten zone tolerant zijn | Firewalls kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Firewalls met precies één vermelding in de matrix zones worden beschouwd als zone uitgelijnd. Firewalls met 3 of meer vermeldingen in de zonesmatrix worden daarentegen herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Load Balancers moeten Zone Resilient zijn | Load Balancers met een andere SKU dan Basic nemen de tolerantie van de openbare IP-adressen in hun front-end over. In combinatie met het beleid 'Openbare IP-adressen moeten zonetolerantie' zijn, zorgt deze benadering ervoor dat de benodigde redundantie bestand is tegen een zonestoring. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Managed Disks moet Zone Resilient zijn | Beheerde schijven kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Beheerde schijven met precies één zonetoewijzing zijn uitgelijnd op zone. Beheerde schijven met een sKU-naam die eindigt op ZRS, zijn zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties voor Beheerde schijven. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: NAT-gateway moet zone zijn uitgelijnd | NAT-gateway kan worden geconfigureerd als zone uitgelijnd of niet. NAT-gateway met precies één vermelding in de matrix zones wordt beschouwd als zone uitgelijnd. Dit beleid zorgt ervoor dat een NAT-gateway is geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Openbare IP-adressen moeten Zone Resilient zijn | Openbare IP-adressen kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Openbare IP-adressen die regionaal zijn, met precies één vermelding in hun zonesmatrix, worden beschouwd als zone uitgelijnd. Daarentegen worden openbare IP-adressen die regionaal zijn, met drie of meer vermeldingen in hun zonesmatrix herkend als zoneredundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.1.0-preview |
| [Preview]: Openbare IP-voorvoegsels moeten zone tolerant zijn | Openbare IP-voorvoegsels kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Openbare IP-voorvoegsels met precies één vermelding in hun zonesmatrix worden beschouwd als zone uitgelijnd. Daarentegen worden openbare IP-voorvoegsels met 3 of meer vermeldingen in hun zonesmatrix herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Service Bus moet zone-redundant zijn | Service Bus kan worden geconfigureerd als zone-redundant of niet. Wanneer de eigenschap zoneRedundant is ingesteld op false voor een Service Bus, betekent dit dat deze niet is geconfigureerd voor zoneredundantie. Dit beleid identificeert en dwingt de configuratie van zoneredundantie af voor Service Bus-exemplaren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Service Fabric-clusters moeten zone-redundant zijn | Service Fabric-clusters kunnen worden geconfigureerd als zone-redundant of niet. Servicefabric-clusters waarvan het nodeType niet de multipleAvailabilityZones heeft ingesteld op true, zijn niet zone-redundant. Dit beleid identificeert Servicefabric-clusters die niet beschikken over de redundantie die nodig is om een zonestoring te weerstaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: SQL-databases moeten zone-redundant zijn | SQL-databases kunnen worden geconfigureerd als zone-redundant of niet. Databases waarvoor de instelling zoneRedundant is ingesteld op False, worden niet geconfigureerd voor zoneredundantie. Dit beleid helpt bij het identificeren van SQL-databases die zoneredundantieconfiguratie nodig hebben om de beschikbaarheid en tolerantie binnen Azure te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Pools voor elastische SQL-databases moeten zone-redundant zijn | Pools voor elastische SQL-databases kunnen worden geconfigureerd als zone-redundant of niet. Pools voor elastische SQL-databases zijn zone-redundant als de eigenschap zoneRedundant is ingesteld op 'true'. Door dit beleid af te dwingen, zorgt u ervoor dat Event Hubs op de juiste wijze zijn geconfigureerd voor zonetolerantie, waardoor het risico op downtime tijdens zonestoringen wordt verminderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: SQL Managed Instances moeten zone-redundant zijn | SQL Managed Instances kunnen worden geconfigureerd als zoneredundant of niet. Exemplaren waarvoor de instelling zoneRedundant is ingesteld op False, zijn niet geconfigureerd voor zoneredundantie. Met dit beleid kunt u SQL managedInstances identificeren die zoneredundantieconfiguratie nodig hebben om de beschikbaarheid en tolerantie in Azure te verbeteren. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Opslagaccounts moeten zone-redundant zijn | Opslagaccounts kunnen worden geconfigureerd als zone-redundant of niet. Als de SKU-naam van een opslagaccount niet eindigt op ZRS of als het type 'Opslag' is, is deze niet zone-redundant. Dit beleid zorgt ervoor dat uw opslagaccounts gebruikmaken van een zone-redundante configuratie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele-machineschaalsets moeten zone tolerant zijn | Virtuele-machineschaalsets kunnen worden geconfigureerd als zone uitgelijnd, zone-redundant of geen van beide. Virtuele-machineschaalsets met precies één vermelding in hun zonesmatrix worden beschouwd als zone uitgelijnd. Virtuele-machineschaalsets met daarentegen 3 of meer vermeldingen in hun zonesmatrix en een capaciteit van ten minste 3 worden herkend als zone-redundant. Dit beleid helpt bij het identificeren en afdwingen van deze tolerantieconfiguraties. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Virtuele machines moeten zijn uitgelijnd op zone | Virtuele machines kunnen worden geconfigureerd als zone uitgelijnd of niet. Ze worden beschouwd als zone uitgelijnd als ze slechts één vermelding hebben in hun zonesmatrix. Dit beleid zorgt ervoor dat ze zijn geconfigureerd voor gebruik binnen één beschikbaarheidszone. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
| [Preview]: Gateways van virtuele netwerken moeten zone-redundant zijn | Gateways voor virtuele netwerken kunnen worden geconfigureerd als zone-redundant of niet. Virtuele netwerkgateways waarvan de SKU-naam of -laag niet eindigt op AZ, zijn niet zone-redundant. Dit beleid identificeert virtuele netwerkgateways die niet over de redundantie beschikken die nodig is om een zonestoring te weerstaan. | Controleren, Weigeren, Uitgeschakeld | 1.0.0-preview |
Zoeken
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Cognitive Search-service moet een SKU gebruiken die private link ondersteunt | Met ondersteunde SKU's van Azure Cognitive Search kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Search-service, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure Cognitive Search-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Search-service beperken. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Cognitive Search-service s moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Cognitive Search-service s uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/rbac. Houd er rekening mee dat hoewel de parameter voor lokale verificatie uitschakelen nog steeds in preview is, het weigeringseffect voor dit beleid kan leiden tot beperkte functionaliteit van de Azure Cognitive Search-portal, omdat sommige functies van de portal de GA-API gebruiken die de parameter niet ondersteunt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Versleuteling-at-rest inschakelen met behulp van een door de klant beheerde sleutel op uw Azure Cognitive Search-service biedt extra controle over de sleutel die wordt gebruikt voor het versleutelen van data-at-rest. Deze functie is vaak van toepassing op klanten met speciale nalevingsvereisten voor het beheren van gegevensversleutelingssleutels met behulp van een sleutelkluis. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Azure Cognitive Search, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Controle, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Cognitive Search-service uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/rbac. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Cognitive Search-service uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in uw Azure Cognitive Search-service. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cognitive Search-service s configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cognitive Search-service, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/azure-cognitive-search/inbound-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
Beveiligingscentrum
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw Linux Arc-machines | Installeer de Azure-beveiligingsagent op uw Linux Arc-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Azure Security Agent moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de Azure-beveiligingsagent op uw virtuele-machineschaalsets van Linux om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw virtuele Linux-machines | Installeer de Azure-beveiligingsagent op uw virtuele Linux-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw Windows Arc-machines | Installeer de Azure-beveiligingsagent op uw Windows Arc-machines om uw machines te controleren op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De Azure-beveiligingsagent moet worden geïnstalleerd op uw virtuele-machineschaalsets van Windows | Installeer de Azure-beveiligingsagent op uw virtuele-machineschaalsets van Windows om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: De Azure-beveiligingsagent moet zijn geïnstalleerd op uw virtuele Windows-machines | Installeer de Azure-beveiligingsagent op uw virtuele Windows-machines om uw machines te bewaken op beveiligingsconfiguraties en beveiligingsproblemen. Resultaten van de evaluaties kunnen worden weergegeven en beheerd in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Linux Arc-computer | Installeer de ChangeTracking-extensie op Linux Arc-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Linux-machine | Installeer de ChangeTracking-extensie op virtuele Linux-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de ChangeTracking-extensie op virtuele-machineschaalsets van Linux om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows Arc-computer | Installeer de ChangeTracking-extensie op Windows Arc-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Windows-machine | Installeer de ChangeTracking-extensie op virtuele Windows-machines om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele-machineschaalsets van Windows | Installeer de ChangeTracking-extensie op virtuele-machineschaalsets van Windows om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Azure Defender voor SQL-agent configureren op virtuele machine | Configureer Windows-machines om de Azure Defender voor SQL-agent automatisch te installeren waarop de Azure Monitor Agent is geïnstalleerd. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en Log Analytics-werkruimte in dezelfde regio als de computer. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor Linux Arc-machines | Configureer Linux Arc-machines om de ChangeTracking-extensie automatisch te installeren om FiM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Linux-machineschaalsets | Configureer virtuele-machineschaalsets voor Linux om de ChangeTracking-extensie automatisch te installeren om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Linux-machines | Configureer virtuele Linux-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor Windows Arc-machines | Configureer Windows Arc-machines om de ChangeTracking-extensie automatisch te installeren om FiM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele-machineschaalsets van Windows | Configureer virtuele-machineschaalsets van Windows om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: ChangeTracking-extensie configureren voor virtuele Windows-machines | Configureer virtuele Windows-machines om de ChangeTracking-extensie automatisch te installeren om Bewaking van bestandsintegriteit (FIM) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows-registers, toepassingssoftware, Linux-systeembestanden en meer op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door de Azure Monitor-agent. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Ondersteunde Linux Arc-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Linux Arc-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Linux Arc-doelcomputers moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde virtuele-machineschaalsets voor Linux om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om automatisch de extensie gastverklaring te installeren | Configureer ondersteunde virtuele Linux-machinesschaalsets om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 6.1.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Linux-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 5.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde virtuele Linux-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 7.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de gastattestextensie automatisch te installeren | Configureer ondersteunde virtuele Linux-machines om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 7.1.0-preview |
| [Preview]: Ondersteunde virtuele machines configureren om vTPM automatisch in te schakelen | Configureer ondersteunde virtuele machines om vTPM automatisch in te schakelen voor het vergemakkelijken van gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: Ondersteunde Windows Arc-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Windows Arc-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Windows Arc-doelcomputers moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Ondersteunde Windows-machines configureren om de Azure-beveiligingsagent automatisch te installeren | Configureer ondersteunde Windows-machines om de Azure Security-agent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets van Windows configureren om de Azure Security-agent automatisch te installeren | Configureer ondersteunde virtuele-machineschaalsets van Windows om de Azure-beveiligingsagent automatisch te installeren. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. De doelschaalsets voor virtuele Windows-machines moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets van Windows configureren om de extensie Gastverklaring automatisch te installeren | Configureer ondersteunde virtuele Windows-machinesschaalsets om automatisch de Gast attestation-extensie te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 4.1.0-preview |
| [Preview]: Ondersteunde virtuele Windows-machines configureren om beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Windows-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 3.0.0-preview |
| [Preview]: Ondersteunde virtuele Windows-machines configureren om de extensie Gastat attestation automatisch te installeren | Configureer ondersteunde virtuele Windows-machines om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: VM's configureren die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Guest Attestation te installeren | Configureer virtuele machines die zijn gemaakt met installatiekopieën van de Shared Image Gallery om automatisch de gastverklaringextensie te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [Preview]: VMSS configureren die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Guest Attestation te installeren | Configureer VMSS die zijn gemaakt met installatiekopieën van de Shared Image Gallery om de extensie Gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op hybride Linux-machines | Implementeert Microsoft Defender voor Eindpunt-agent op hybride Linux-machines | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op virtuele Linux-machines | Implementeert Microsoft Defender voor Eindpunt agent op toepasselijke Linux-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 3.0.0-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows Azure Arc-machines | Implementeert Microsoft Defender voor Eindpunt op Windows Azure Arc-machines. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: Microsoft Defender voor Eindpunt-agent implementeren op virtuele Windows-machines | Implementeert Microsoft Defender voor Eindpunt op toepasselijke Windows-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te laten attesteren en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
| [Preview]: De extensie gastverklaring moet worden geïnstalleerd op ondersteunde virtuele Windows-machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Windows-machines-schaalsets | Installeer de Gast attestation-extensie op ondersteunde virtuele-machineschaalsets om Azure Security Center in staat te stellen proactief de opstartintegriteit te bevestigen en te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets met vertrouwde start en vertrouwelijke Windows-machines. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
| [Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: virtuele Linux-machines moeten Beveiligd opstarten gebruiken | Als u wilt beschermen tegen de installatie van rootkits en opstartkits op basis van malware, schakelt u Secure Boot in op ondersteunde virtuele Linux-machines. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor-agent is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen | De gebruiksvoorwaarden van Azure verbieden het gebruik van Azure-services op manieren die microsoft-servers of het netwerk kunnen beschadigen, uitschakelen, overbelasten of belemmeren. De weergegeven poorten die door deze aanbeveling worden geïdentificeerd, moeten worden gesloten voor uw continue beveiliging. Voor elke geïdentificeerde poort biedt de aanbeveling ook een uitleg van de mogelijke bedreiging. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde virtuele Windows-machines | Schakel Beveiligd opstarten in op ondersteunde virtuele Windows-machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op virtuele machines met vertrouwde start en vertrouwelijke Windows-machines. | Controle, uitgeschakeld | 4.0.0-preview |
| [Preview]: Systeemupdates moeten worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Status van gastattest voor virtuele machines moet in orde zijn | Gastverklaring wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk te detecteren van de opstartketen die het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Controle, uitgeschakeld | 2.0.0-preview |
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Adaptieve toepassingsbesturingselementen voor het definiëren van veilige toepassingen moeten worden ingeschakeld op uw computers | Schakel toepassingsregelaars in om de lijst te definiëren met bekende veilige toepassingen die worden uitgevoerd op uw machines en om een waarschuwing te ontvangen wanneer andere toepassingen worden uitgevoerd. Dit helpt uw computers te beschermen tegen schadelijke software. Om het proces van het configureren en onderhouden van uw regels te vereenvoudigen, gebruikt Security Center machine learning om de toepassingen te analyseren die op elke computer worden uitgevoerd en stelt de lijst met bekende veilige toepassingen voor. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Aanbevelingen voor Adaptieve netwerkbeveiliging moeten worden toegepast op virtuele machines die op internet zijn gericht | Azure Security Center analyseert de verkeerspatronen van virtuele machines die vanaf het internet toegankelijk zijn, en formuleert aanbevelingen voor regels voor de netwerkbeveiligingsgroep die de kans op aanvallen beperken | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft een aantal te ruime regels voor binnenkomende verbindingen van uw netwerkbeveiligingsgroepen geïdentificeerd. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De Allowlist-regels in uw beleid voor adaptief toepassingsbeheer moeten worden bijgewerkt | Controleer op wijzigingen in gedrag op groepen machines die zijn geconfigureerd voor controle door de adaptieve toepassingsregelaars van Azure Security Center. Security Center gebruikt machine learning voor het analyseren van de processen die worden uitgevoerd op uw computers en stelt een lijst voor met bekende veilige toepassingen. Deze worden weergegeven als aanbevolen apps om toe te staan in beleidsregels voor adaptieve toepassingsregelaars. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Meer informatie over de OWASP API Threat for Broken User Authentication vindt u hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen voor uw organisatie. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar mogelijk per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Controle, uitgeschakeld | 2.0.1 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure DDoS Protection moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
| Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde PostgreSQL flexibele servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Registry-containerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Controle, uitgeschakeld | 1.0.3 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten veilig worden geconfigureerd | Bescherm uw rolinstanties van cloudservices (uitgebreide ondersteuning) tegen aanvallen door ervoor te zorgen dat ze niet worden blootgesteld aan beveiligingsproblemen in het besturingssysteem. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moet een oplossing voor eindpuntbeveiliging zijn geïnstalleerd | Bescherm uw rolinstanties van Cloud Services (uitgebreide ondersteuning) tegen bedreigingen en beveiligingsproblemen door ervoor te zorgen dat er een oplossing voor eindpuntbeveiliging is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten systeemupdates zijn geïnstalleerd | Beveilig uw rolinstanties voor Cloud Services (uitgebreide ondersteuning) door ervoor te zorgen dat de meest recente beveiligings- en essentiële updates erop zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Advanced Threat Protection configureren voor inschakelen op flexibele Azure-database voor MySQL-servers | Schakel Advanced Threat Protection in op uw flexibele Azure-database voor MySQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Advanced Threat Protection configureren voor ingeschakelde Azure-database voor Flexibele PostgreSQL-servers | Schakel Advanced Threat Protection in op uw flexibele Azure-database voor PostgreSQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| SQL-servers met Arc configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw SQL-servers met Windows Arc. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL automatisch te installeren | Configureer SQL-servers met Windows Arc om de Microsoft Defender voor SQL-agent automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een Log Analytics-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.4.0 |
| SQL-servers met Arc configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| SQL-servers met Arc configureren met gegevensverzamelingsregelkoppeling naar Microsoft Defender voor SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en microsoft Defender voor SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| SQL-servers met Arc configureren met gegevensverzamelingsregelkoppeling naar Microsoft Defender voor door de gebruiker gedefinieerde DCR van SQL | Configureer de koppeling tussen SQL-servers met Arc-functionaliteit en de door de gebruiker gedefinieerde DCR van Microsoft Defender voor SQL. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Configureer Azure Defender voor App Service naar ingeschakeld) | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Microsoft Azure SQL database configureren zodat deze wordt ingeschakeld) | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender configureren voor opensource-relationele databases zodat deze wordt ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor Resource Manager configureren zodat het wordt ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configureer Azure Defender voor servers naar ingeschakeld) | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor SQL-servers op computers configureren zodat deze wordt ingeschakeld) | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Basis microsoft Defender voor Opslag configureren om in te schakelen (alleen activiteitsbewaking) | Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd. Met dit beleid worden de basismogelijkheden van Defender for Storage (Activiteitenbewaking) ingeschakeld. Als u volledige beveiliging wilt inschakelen, waaronder ook scannen op malware bij uploaden en detectie van gevoelige gegevens, gebruikt u het volledige activeringsbeleid: aka.ms/DefenderForStoragePolicy. Ga naar aka.ms/DefenderForStorage voor meer informatie over de mogelijkheden en voordelen van Defender for Storage. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw computers zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Microsoft Defender CSPM-abonnement configureren | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender CSPM configureren zodat deze wordt ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender voor Azure Cosmos DB configureren zodat deze wordt ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender for Containers-abonnement configureren | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan het Defender for Containers-plan, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender configureren zodat containers worden ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP_EXCLUDE_LINUX...) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_EXCLUDE_LINUX_...), voor het inschakelen van automatische inrichting van MDE voor Linux-servers. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP_UNIFIED_SOLUTION) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_UNIFIED_SOLUTION genoemd), voor het inschakelen van automatische inrichting van MDE Unified Agent voor Windows Server 2012R2 en 2016. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel bekend als WDATP), voor Windows-downlevelmachines die via MMA zijn toegevoegd aan MDE en automatische inrichting van MDE op Windows Server 2019, Windows Virtual Desktop en hoger. Moet zijn ingeschakeld om de andere instellingen (WDATP_UNIFIED, enzovoort) te laten werken. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Key Vault-abonnement configureren | Microsoft Defender voor Key Vault biedt een extra beveiligingslaag en beveiligingsinformatie door ongebruikelijke en mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot of misbruik te maken van key vault-accounts. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Microsoft Defender voor Servers-abonnement configureren | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan Defender for Servers, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor SQL configureren voor ingeschakelde Synapse-werkruimten | Schakel Microsoft Defender voor SQL in uw Azure Synapse-werkruimten in om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot OF misbruik te maken van SQL-databases. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Microsoft Defender voor Storage (klassiek) is ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender for Storage configureren om in te schakelen | Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd. Met dit beleid worden alle mogelijkheden van Defender for Storage ingeschakeld; Activiteitenbewaking, malwarescans en detectie van gevoelige gegevensrisico's. Ga naar aka.ms/DefenderForStorage voor meer informatie over de mogelijkheden en voordelen van Defender for Storage. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Virtuele SQL-machines configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van de Azure Monitor Agent-extensie op uw virtuele Windows SQL-machines. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL automatisch te installeren | Configureer Virtuele Windows SQL-machines om de Microsoft Defender voor SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een Log Analytics-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Virtuele SQL-machines configureren om Microsoft Defender voor SQL en DCR automatisch te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| De Microsoft Defender voor SQL Log Analytics-werkruimte configureren | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en Log Analytics-werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Een ingebouwde door de gebruiker toegewezen beheerde identiteit maken en toewijzen | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele SQL-machines. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.5.0 |
| Implementeren - Onderdrukkingsregels configureren voor Azure Security Center-waarschuwingen | Onderdruk Azure Security Center-waarschuwingen om te veel waarschuwingen te voorkomen door onderdrukkingsregels te implementeren in uw beheergroep of abonnement. | deployIfNotExists | 1.0.0 |
| Export implementeren naar Event Hub als een vertrouwde service voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub inschakelen als een vertrouwde service van Microsoft Defender voor Cloud gegevens. Met dit beleid wordt een export naar Event Hub geïmplementeerd als een vertrouwde serviceconfiguratie met uw voorwaarden en de Doel-Event Hub op het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Export implementeren naar Event Hub voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd in de Event Hub-configuratie met uw voorwaarden en doel-Event Hub in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.2.0 |
| Export implementeren naar Log Analytics-werkruimte voor Microsoft Defender voor Cloud gegevens | Exporteren naar Log Analytics-werkruimte van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd in de configuratie van de Log Analytics-werkruimte met uw voorwaarden en doelwerkruimte in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.1.0 |
| Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-waarschuwingen | Automatisering van Microsoft Defender voor Cloud waarschuwingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-aanbevelingen | Automatisering van Microsoft Defender voor Cloud aanbevelingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud naleving van regelgeving | Automatisering van Microsoft Defender voor Cloud naleving van regelgeving mogelijk maken. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Microsoft Defender voor Cloud inschakelen voor uw abonnement | Identificeert bestaande abonnementen die niet worden bewaakt door Microsoft Defender voor Cloud en beveiligt deze met de gratis functies van Defender voor Cloud. Abonnementen die al worden bewaakt, worden beschouwd als compatibel. Als u nieuw gemaakte abonnementen wilt registreren, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 1.0.1 |
| Schakel automatische inrichting van de Log Analytics-agent van Security Center voor uw abonnementen in met een aangepaste werkruimte. | Geef Security Center toestemming om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van een aangepaste werkruimte. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Schakel automatische inrichting van de Log Analytics-agent van Security Center voor uw abonnementen in met standaardwerkruimte. | Geef Security Center toestemming om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van de standaard ASC-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Statusproblemen met eindpuntbescherming moeten worden opgelost voor uw machines | Statusproblemen met eindpuntbeveiliging op virtuele machines oplossen om deze te beschermen tegen de nieuwste bedreigingen en beveiligingsproblemen. Ondersteunde eindpuntbeveiligingsoplossingen van Azure Security Center worden hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions De eindpuntbeveiligingsevaluatie wordt hier beschreven: https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Endpoint Protection moet worden geïnstalleerd op uw computers | Installeer een ondersteunde oplossing voor eindpuntbeveiliging om uw machines tegen bedreigingen en beveiligingsproblemen te beschermen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De Endpoint Protection-oplossing moet worden geïnstalleerd op virtuele-machineschaalsets | Controleer op de aanwezigheid en status van een oplossing voor eindpuntbeveiliging op virtuele-machineschaalsets, waarmee de schaalsets worden beschermd tegen bedreigingen en beveiligingsproblemen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Zodra u dit hebt geïnstalleerd, is beleid in de gastconfiguratie beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Controle, uitgeschakeld | 1.0.2 |
| De Log Analytics-agent moet zijn geïnstalleerd op uw rolinstanties van Cloud Services (uitgebreide ondersteuning) | Security Center verzamelt gegevens van uw rolinstanties van Cloud Services (uitgebreide ondersteuning) om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Log Analytics-agent moet zijn geïnstalleerd op uw virtuele machine voor Azure Security Center-bewaking | Met dit beleid controleert elke willekeurige virtuele Windows-/Linux-machine of de Log Analytics-agent niet is geïnstalleerd, wat Security Center gebruikt om op beveiligingsproblemen te reageren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Log Analytics-agent moet worden geïnstalleerd op uw virtuele-machineschaalsets voor Azure Security Center-bewaking | Security Center verzamelt gegevens van uw Azure-VM's om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Defender voor Azure Cosmos DB moet zijn ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender voor SQL in om uw Synapse-werkruimten te beveiligen. Defender voor SQL bewaakt uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor SQL-status moet worden beveiligd voor SQL-servers met Arc | Microsoft Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases, het detecteren en classificeren van gevoelige gegevens. Zodra deze optie is ingeschakeld, geeft de beveiligingsstatus aan dat de resource actief wordt bewaakt. Zelfs wanneer Defender is ingeschakeld, moeten meerdere configuratie-instellingen worden gevalideerd op de agent, computer, werkruimte en SQL-server om actieve beveiliging te garanderen. | Controle, uitgeschakeld | 1.0.1 |
| Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center | Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De prijscategorie Standard voor Security Center moet zijn geselecteerd | De prijscategorie Standard voorziet in detectie van bedreigingen voor netwerken en virtuele machines en biedt bedreigingsinformatie, anomaliedetectie en gedragsanalyse in Azure Security Center | Controle, uitgeschakeld | 1.1.0 |
| Abonnementen instellen om over te stappen op een alternatieve oplossing voor evaluatie van beveiligingsproblemen | Microsoft Defender voor de cloud biedt scannen op beveiligingsproblemen voor uw computers zonder extra kosten. Als u dit beleid inschakelt, wordt Defender voor Cloud de bevindingen van de ingebouwde Oplossing voor beveiligingsproblemen van Microsoft Defender automatisch doorgegeven aan alle ondersteunde computers. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de op SQL gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Systeemupdates op virtuele-machineschaalsets moeten worden geïnstalleerd | Controleren of er systeembeveiligingsupdates of essentiële updates ontbreken die moeten worden geïnstalleerd om ervoor te zorgen dat uw virtuele-machineschaalsets voor Windows en Linux veilig zijn. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Systeemupdates moeten op uw computers worden geïnstalleerd | Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 4.0.0 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen | Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, uitgeschakeld | 2.0.3 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Virtuele Azure-machines binnen het bereik van dit beleid zijn niet-compatibel wanneer de gastconfiguratie-extensie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Beveiligingsproblemen in beveiligingsconfiguraties voor containers moeten worden verholpen | Beveiligingsproblemen in de beveiligingsconfiguratie op computers waarop Docker is geïnstalleerd, controleren en als aanbevelingen weergeven in Azure Security Center. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie op uw computers moeten worden hersteld | Servers die niet voldoen aan de geconfigureerde basislijn, worden als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Beveiligingsproblemen in de beveiligingsconfiguratie van virtuele-machineschaalsets moeten worden hersteld | Controleer op beveiligingsproblemen van besturingssystemen op uw virtuele-machineschaalsets om de schaalsets te beveiligen tegen aanvallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Security Center - Gedetailleerde prijzen
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Configureren dat Azure Defender voor servers moet worden uitgeschakeld voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden uitgeschakeld voor resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan uitgeschakeld voor alle resources (VM's, VMSS's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor Servers moet worden ingeschakeld (subplan P1) voor alle resources (resourceniveau) met de geselecteerde tag | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) met de geselecteerde tagnaam en tagwaarde(s). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Azure Defender voor servers moet worden ingeschakeld (met het subplan P1) voor alle resources (resourceniveau) | Azure Defender voor Servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. Met dit beleid wordt het Defender for Servers-plan (met het subplan P1) ingeschakeld voor alle resources (VM's en ARC-machines) in het geselecteerde bereik (abonnement of resourcegroep). | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Service Bus
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Alle autorisatieregels met uitzondering van RootManageSharedAccessKey moeten worden verwijderd uit Service Bus-naamruimte | Service Bus-clients mogen geen toegangsbeleid op naamruimteniveau gebruiken dat toegang biedt tot alle wachtrijen en onderwerpen in een naamruimte. Overeenkomstig het beveiligingsmodel met minimale bevoegdheden, moet u voor wachtrijen en onderwerpen toegangsbeleid maken op entiteitsniveau, om alleen toegang te verlenen aan de specifieke entiteit | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor Azure Service Bus-naamruimten moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Service Bus-naamruimten uitsluitend Microsoft Entra ID-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-sb. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Service Bus-naamruimten moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan Service Bus-naamruimten, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Service Bus-naamruimten configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure ServiceBus-naamruimten uitsluitend Microsoft Entra ID-identiteiten zijn vereist voor verificatie. Zie voor meer informatie: https://aka.ms/disablelocalauth-sb. | Wijzigen, uitgeschakeld | 1.0.1 |
| Service Bus-naamruimten configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Service Bus-naamruimten. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Service Bus-naamruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te brengen aan Service Bus-naamruimten, kunt u risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Resourcelogboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Service Bus-naamruimten moeten openbare netwerktoegang uitschakelen | Azure Service Bus moet openbare netwerktoegang hebben uitgeschakeld. Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beperken door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://docs.microsoft.com/azure/service-bus-messaging/private-link-service | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Voor Service Bus-naamruimten moet dubbele versleuteling zijn ingeschakeld | Door dubbele versleuteling in te schakelen, beveiligt en beschermt u uw gegevens conform de beveiligings- en nalevingsvereisten van uw organisatie. Wanneer dubbele versleuteling is ingeschakeld, worden de gegevens in het opslagaccount tweemaal versleuteld, eenmaal op serviceniveau en eenmaal op infrastructuurniveau, met behulp van twee verschillende versleutelingsalgoritmes en twee verschillende sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Service Bus Premium-naamruimten moeten een door de klant beheerde sleutel gebruiken voor versleuteling | Azure Service Bus ondersteunt de optie voor het versleutelen van data-at-rest met door Microsoft beheerde sleutels (standaard) of door de klant beheerde sleutels. Als u gegevens wilt versleutelen met door de klant beheerde sleutels, kunt u de toegang tot de sleutels die Service Bus gebruikt voor het versleutelen van gegevens in uw naamruimte toewijzen, draaien, uitschakelen en intrekken. Service Bus ondersteunt alleen versleuteling met door de klant beheerde sleutels voor Premium-naamruimten. | Controle, uitgeschakeld | 1.0.0 |
Service Fabric
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor Service Fabric-clusters moet de eigenschap ClusterProtectionLevel zijn ingesteld op EncryptAndSign | Service Fabric kent drie niveaus van beveiliging (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten en gebruikt hierbij een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Service Fabric-clusters mogen alleen gebruikmaken van Azure Active Directory voor clientverificatie | Exclusief gebruik van clientverificatie via Azure Active Directory in Service Fabric controleren | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
SignalR
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure SignalR Service moet openbare netwerktoegang uitschakelen | Om de beveiliging van de Azure SignalR Service-resource te verbeteren, moet u ervoor zorgen dat deze niet beschikbaar is voor het openbare internet en alleen toegankelijk is vanaf een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/asrs/networkacls. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure SignalR Service moet diagnostische logboeken inschakelen | Inschakeling van diagnostische logboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure SignalR Service uitsluitend Azure Active Directory-identiteiten vereist voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure SignalR Service moet een SKU met Private Link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming die uw resources beschermen tegen risico's voor het lekken van openbare gegevens. Het beleid beperkt u tot SKU's met Private Link voor Azure SignalR Service. Meer informatie over private link vindt u op: https://aka.ms/asrs/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure SignalR Service moet Private Link worden gebruikt | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te wijzen aan uw Azure SignalR Service-resource in plaats van de hele service, vermindert u uw risico's voor gegevenslekken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure SignalR Service configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure SignalR-service uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. | Wijzigen, uitgeschakeld | 1.0.0 |
| Privé-eindpunten configureren voor Azure SignalR Service | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te wijzen aan Azure SignalR Service-resources, kunt u risico's voor gegevenslekken verminderen. Meer informatie op https://aka.ms/asrs/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Privé-DNS-zones configureren voor privé-eindpunten die verbinding maken met Azure SignalR Service | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in azure SignalR Service-resource. Zie voor meer informatie: https://aka.ms/asrs/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure SignalR Service-resources wijzigen om openbare netwerktoegang uit te schakelen | Om de beveiliging van de Azure SignalR Service-resource te verbeteren, moet u ervoor zorgen dat deze niet beschikbaar is voor het openbare internet en alleen toegankelijk is vanaf een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/asrs/networkacls. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Wijzigen, uitgeschakeld | 1.1.0 |
Siteherstel
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Recovery Services-kluizen configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in Recovery Services-kluizen. Zie voor meer informatie: https://aka.ms/privatednszone. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Privé-eindpunten configureren in Azure Recovery Services-kluizen | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw site recovery-resources van Recovery Services-kluizen, kunt u risico's voor gegevenslekken verminderen. Als u privékoppelingen wilt gebruiken, moet de beheerde service-identiteit worden toegewezen aan Recovery Services-kluizen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Recovery Services-kluizen moeten private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te passen aan Azure Recovery Services-kluizen, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen voor Azure Site Recovery vindt u op: https://aka.ms/HybridScenarios-PrivateLink en https://aka.ms/AzureToAzure-PrivateLink. | Controle, uitgeschakeld | 1.0.0-preview |
SQL
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een Microsoft Entra-beheerder moet worden ingericht voor MySQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw MySQL-server om Microsoft Entra-verificatie in te schakelen. Microsoft Entra-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.1.1 |
| Een Microsoft Entra-beheerder moet worden ingericht voor PostgreSQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw PostgreSQL-server om Microsoft Entra-verificatie in te schakelen. Microsoft Entra-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder Advanced Data Security. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Flexibele Azure MySQL-server moet alleen Microsoft Entra-verificatie hebben ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra Authentication toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat de flexibele Azure MySQL-server uitsluitend toegankelijk is voor Microsoft Entra-identiteiten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure SQL Database moet TLS-versie 1.2 of hoger uitvoeren | Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients met TLS 1.2 of hoger. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Azure SQL Database moet alleen-microsoft-verificatie hebben ingeschakeld | Logische Azure SQL-servers vereisen voor het gebruik van Microsoft Entra-verificatie. Dit beleid blokkeert niet dat servers worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure SQL Database moet microsoft-entra-verificatie zijn ingeschakeld tijdens het maken | Vereisen dat logische Azure SQL-servers worden gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Voor Azure SQL Managed Instance moet alleen-entra-verificatie zijn ingeschakeld | Vereisen dat Azure SQL Managed Instance alleen Microsoft Entra-verificatie gebruikt. Met dit beleid wordt niet geblokkeerd dat Azure SQL Managed Instances worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure SQL Managed Instances moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) in Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Ga naar https://aka.ms/mi-public-endpointvoor meer informatie over openbare netwerktoegang. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure SQL Managed Instances moet microsoft Entra-verificatie zijn ingeschakeld tijdens het maken | Vereisen dat Azure SQL Managed Instance wordt gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Advanced Threat Protection configureren voor inschakelen op Azure Database for MariaDB-servers | Schakel Advanced Threat Protection in op uw Niet-Basic-laag Azure-database voor MariaDB-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Advanced Threat Protection configureren voor inschakelen op Azure Database for MySQL-servers | Schakel Advanced Threat Protection in op uw Niet-Basic-laag Azure-database voor MySQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Advanced Threat Protection configureren voor inschakelen op Azure Database for PostgreSQL-servers | Schakel Advanced Threat Protection in op uw Niet-Basic-laag Azure-database voor PostgreSQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Azure Defender configureren voor ingeschakelde SQL Managed Instances | Schakel Azure Defender in uw Met Azure SQL beheerde exemplaren in om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Azure Defender configureren voor ingeschakeld op SQL-servers | Schakel Azure Defender in op uw Azure SQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists | 2.1.0 |
| Diagnostische instellingen voor Azure SQL-databaseservers configureren voor Log Analytics-werkruimte | Hiermee schakelt u controlelogboeken voor Azure SQL Database-server in en streamt u de logboeken naar een Log Analytics-werkruimte wanneer een SQL Server waarvoor deze controle ontbreekt, wordt gemaakt of bijgewerkt | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Azure SQL Server configureren om openbare netwerktoegang uit te schakelen | Als u de eigenschap openbare netwerktoegang uitschakelt, wordt openbare connectiviteit afgesloten, zodat Azure SQL Server alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de openbare netwerktoegang voor alle databases onder Azure SQL Server uitgeschakeld. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure SQL Server configureren om privé-eindpuntverbindingen in te schakelen | Een privé-eindpuntverbinding maakt privéconnectiviteit met uw Azure SQL Database mogelijk via een privé-IP-adres in een virtueel netwerk. Deze configuratie verbetert uw beveiligingspostuur en ondersteunt Azure-netwerkhulpprogramma's en -scenario's. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| SQL-servers configureren voor controle ingeschakeld | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten sql-servers controle hebben ingeschakeld. Dit is soms vereist voor naleving van regelgevingsstandaarden. | DeployIfNotExists, uitgeschakeld | 3.0.0 |
| SQL-servers configureren voor controle ingeschakeld voor Log Analytics-werkruimte | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten sql-servers controle hebben ingeschakeld. Als controle niet is ingeschakeld, configureert dit beleid controlegebeurtenissen om naar de opgegeven Log Analytics-werkruimte te stromen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Verbinding beperken moet worden ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er verbindingsbeperking hoeft te worden ingeschakeld. Met deze instelling schakelt u tijdelijke beperking van de verbinding per IP in voor te veel ongeldige wachtwoordaanmeldingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Implementeren - Diagnostische instellingen configureren voor SQL Databases in Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor SQL Databases geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een SQL Database waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Advanced Data Security implementeren op SQL-servers | Met dit beleid wordt Advanced Data Security op SQL-servers ingeschakeld. Dit omvat het inschakelen van bedreigingsdetectie en evaluatie van beveiligingsproblemen. Er wordt automatisch een opslagaccount in dezelfde regio en resourcegroep gemaakt als de SQL-server voor het opslaan van scanresultaten, met het voorvoegsel ‘sqlva’. | DeployIfNotExists | 1.3.0 |
| Diagnostische instellingen voor Azure SQL Database toepassen op Event Hub | Hiermee worden de diagnostische instellingen voor Azure SQL Database geïmplementeerd en naar een regionale Event Hub gestreamd wanneer een Azure SQL Database-exemplaar waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists | 1.2.0 |
| Transparante gegevensversleuteling in SQL DB implementeren | Hiermee wordt transparante gegevensversleuteling in SQL-databases ingeschakeld | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Verbroken verbindingen moeten in een logboek worden vastgelegd voor PostgreSQL-databaseservers. | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_disconnections hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Met Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Met Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Geografisch redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Met Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Controle, uitgeschakeld | 1.0.1 |
| Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for MySQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for MySQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers | Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Logboekcontrolepunten moeten zijn ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_checkpoints hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_connections hoeven te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Duur logverrichting moet zijn ingeschakeld voor PostgreSQL-databaseservers | Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat de instelling log_duration hoeft te worden ingeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geografisch redundante back-up op de lange termijn moet zijn ingeschakeld voor Azure SQL Databases | Dit beleid controleert alle Azure SQL Databases waarop een geografisch redundante back-up op lange termijn niet is ingeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| De MariaDB-server moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Firewallregels op basis van virtuele netwerken worden gebruikt om verkeer vanaf een specifiek subnet naar Azure Database for MariaDB in te schakelen, waarbij ervoor wordt gezorgd dat het verkeer binnen de grens van Azure blijft. Dit beleid biedt een manier om te controleren of Azure Database for MariaDB een virtuele-netwerkservice-eindpunt gebruikt. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| De MySQL-server moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Firewallregels op basis van virtuele netwerken worden gebruikt om verkeer vanaf een specifiek subnet naar Azure Database for MySQL in te schakelen, waarbij ervoor wordt gezorgd dat het verkeer binnen de grens van Azure blijft. Dit beleid biedt een manier om te controleren of Azure Database for MySQL een virtuele-netwerkservice-eindpunt gebruikt. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| De PostgreSQL-server moet gebruikmaken van een service-eindpunt voor een virtueel netwerk | Firewallregels op basis van virtuele netwerken worden gebruikt om verkeer vanaf een specifiek subnet naar Azure Database for PostgreSQL in te schakelen, waarbij ervoor wordt gezorgd dat het verkeer binnen de grens van Azure blijft. Dit beleid biedt een manier om te controleren of Azure Database for PostgreSQL een virtuele-netwerkservice-eindpunt gebruikt. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Privé-eindpuntverbindingen met Azure SQL Database moeten zijn ingeschakeld | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure SQL Database. | Controle, uitgeschakeld | 1.1.0 |
| Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for MySQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Met privé-eindpuntverbindingen wordt beveiligde communicatie afgedwongen door middel van het inschakelen van privéconnectiviteit met Azure Database for PostgreSQL. Configureer een privé-eindpuntverbinding om alleen verkeer dat afkomstig is van bekende netwerken toegang te verlenen en om verkeer van alle andere IP-adressen, ook binnen Azure, toegang te ontzeggen. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld | Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MariaDB alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele MySQL-servers | Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for MySQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for MySQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen die overeenkomen met firewallregels op basis van IP of virtueel netwerk, geweigerd. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-servers | Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik geheel uitgeschakeld, en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 3.0.1 |
| Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| In de instellingen van SQL-controle moeten actiegroepen zijn geconfigureerd om kritieke activiteiten te kunnen vastleggen | De eigenschap AuditActionsAndGroups moet ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP bevatten om een grondige logboekregistratie van de controle te garanderen | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| SQL Database moet het gebruik van GRS-back-up-redundantie voorkomen | Databases moeten het gebruik van standaard geografisch redundante opslag voor back-ups voorkomen als de regels voor gegevenslocatie vereisen dat gegevens binnen een bepaalde regio blijven. Opmerking: Azure Policy wordt niet afgedwongen bij het maken van een database met behulp van T-SQL. Als het niet expliciet wordt opgegeven, wordt de database met geografisch redundante back-upopslag gemaakt via T-SQL. | Weigeren, Uitgeschakeld | 2.0.0 |
| Voor SQL Managed Instance moet minimaal TLS-versie 1.2 worden gebruikt | Als u de minimale TLS-versie instelt op 1.2, verbetert u de beveiliging door ervoor te zorgen dat uw SQL Managed Instance alleen toegankelijk is vanaf clients met TLS 1.2. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controle, uitgeschakeld | 1.0.1 |
| Door SQL beheerde instanties moeten het gebruik van GRS-back-up-redundantie voorkomen | Beheerde exemplaren moeten het gebruik van standaard geografisch redundante opslag voor back-ups voorkomen als de regels voor gegevenslocatie vereisen dat gegevens binnen een bepaalde regio blijven. Opmerking: Azure Policy wordt niet afgedwongen bij het maken van een database met behulp van T-SQL. Als het niet expliciet wordt opgegeven, wordt de database met geografisch redundante back-upopslag gemaakt via T-SQL. | Weigeren, Uitgeschakeld | 2.0.0 |
| Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Transparent Data Encryption in SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| De firewallregel voor virtuele netwerken van Azure SQL Database moet zijn ingeschakeld om verkeer van het opgegeven subnet toe te staan | Firewallregels op basis van virtuele netwerken worden gebruikt om verkeer vanaf een specifiek subnet naar Azure SQL Database in te schakelen, waarbij ervoor wordt gezorgd dat het verkeer binnen de grens van Azure blijft. | AuditIfNotExists | 1.0.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
SQL Managed Instance
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Door de klant beheerde sleutelversleuteling moet worden gebruikt als onderdeel van CMK-versleuteling voor beheerde Arc SQL-exemplaren. | Als onderdeel van CMK-versleuteling moet door de klant beheerde sleutelversleuteling worden gebruikt. Meer informatie op https://aka.ms/EnableTDEArcSQLMI. | Controle, uitgeschakeld | 1.0.0 |
| TLS-protocol 1.2 moet worden gebruikt voor beheerde Arc SQL-exemplaren. | Als onderdeel van netwerkinstellingen raadt Microsoft aan om alleen TLS 1.2 toe te staan voor TLS-protocollen in SQL-servers. Meer informatie over netwerkinstellingen voor SQL Server vindt u op https://aka.ms/TlsSettingsSQLServer. | Controle, uitgeschakeld | 1.0.0 |
| Transparent Data Encryption moet zijn ingeschakeld voor beheerde Arc SQL-exemplaren. | Schakel TDE (Transparent Data Encryption) at-rest in op een met Azure Arc ingeschakeld SQL Managed Instance. Meer informatie op https://aka.ms/EnableTDEArcSQLMI. | Controle, uitgeschakeld | 1.0.0 |
SQL Server
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Door het systeem toegewezen identiteit inschakelen voor SQL-VM | Schakel door het systeem toegewezen identiteit op schaal in voor virtuele SQL-machines. U moet dit beleid toewijzen op abonnementsniveau. Toewijzen op resourcegroepsniveau werkt niet zoals verwacht. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Configureer Servers met Arc-functionaliteit waarop de SQL Server-extensie is geïnstalleerd om de evaluatie van best practices voor SQL in of uit te schakelen. | Schakel de evaluatie van best practices voor SQL-procedures in of uit op de SQL Server-exemplaren op uw servers met Arc om best practices te evalueren. Meer informatie op https://aka.ms/azureArcBestPracticesAssessment. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Abonneer in aanmerking komende SQL Servers-exemplaren met Arc voor uitgebreide beveiligingsupdates. | Abonneer in aanmerking komende SQL Servers-exemplaren met Arc waarvoor het licentietype is ingesteld op Betaald of BETALEND op uitgebreide beveiligingsupdates. Meer informatie over uitgebreide beveiligingsupdates https://go.microsoft.com/fwlink/?linkid=2239401. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Stack HCI
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: Azure Stack HCI-servers moeten consistent beleid voor toepassingsbeheer hebben afgedwongen | Pas minimaal het Basisbeleid van Microsoft WDAC toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste WDAC-beleidsregels (Windows Defender Application Control) moeten consistent zijn op alle servers in hetzelfde cluster. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Azure Stack HCI-servers moeten voldoen aan de vereisten voor beveiligde kernen | Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. De vereisten voor de Secured Core-server inschakelen: 1. Ga op de pagina Azure Stack HCI-clusters naar Windows Beheer Center en selecteer Verbinding maken. 2. Ga naar de beveiligingsextensie en selecteer Secured-core. 3. Selecteer een instelling die niet is ingeschakeld en klik op Inschakelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Azure Stack HCI-systemen moeten versleutelde volumes hebben | Gebruik BitLocker om het besturingssysteem en de gegevensvolumes op Azure Stack HCI-systemen te versleutelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [Preview]: Host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen | Beveilig gegevens in het Azure Stack HCI-hostnetwerk en op netwerkverbindingen van virtuele machines. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
Storage
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.0-preview |
| Azure File Sync moet gebruikmaken van private link | Door een privé-eindpunt te maken voor de aangegeven opslagsynchronisatieserviceresource, kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Als u een privé-eindpunt zelf maakt, wordt het openbare eindpunt niet uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure NetApp Files SMB-volumes moeten gebruikmaken van SMB3-versleuteling | Maak het maken van SMB-volumes zonder SMB3-versleuteling niet toe om gegevensintegriteit en gegevensprivacy te garanderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure NetApp Files-volumes van het type NFSv4.1 moeten Kerberos-gegevensversleuteling gebruiken | Sta alleen het gebruik van de Beveiligingsmodus van Kerberos (5p) toe om ervoor te zorgen dat gegevens worden versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure NetApp Files-volumes van het type NFSv4.1 moeten kerberos-gegevensintegriteit of gegevensprivacy gebruiken | Zorg ervoor dat ten minste Kerberos-integriteit (krb5i) of Kerberos-privacy (krb5p) is geselecteerd om gegevensintegriteit en gegevensprivacy te garanderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure NetApp Files-volumes mogen geen protocoltype NFSv3 gebruiken | Het gebruik van het NFSv3-protocoltype wordt geweigerd om onbeveiligde toegang tot volumes te voorkomen. NFSv4.1 met kerberos-protocol moet worden gebruikt voor toegang tot NFS-volumes om gegevensintegriteit en -versleuteling te garanderen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor blobgroep-id | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van de blobgroep-id te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor blob_secondary groupID | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van blob_secondary groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor dfs groupID | Configureer de privé-DNS-zonegroep om de DNS-resolutie voor een privé-eindpunt dfs groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor dfs_secondary groupID | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van dfs_secondary groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor bestandsgroep-id | Configureer de privé-DNS-zonegroep om de DNS-resolutie voor een privé-eindpunt bestandsgroep-id te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor wachtrijgroep-id | Configureer een privé-DNS-zonegroep om de DNS-resolutie voor een privé-eindpunt van de wachtrijgroep-id te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor queue_secondary groupID | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van queue_secondary groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor tabelgroep-id | Configureer een privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van een tabelgroep-id te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor table_secondary groupID | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van table_secondary groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor webgroep-id | Configureer de privé-DNS-zonegroep om de DNS-resolutie voor een privé-eindpunt van een webgroep-id te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Een privé-DNS-zone-id configureren voor web_secondary groupID | Configureer de privé-DNS-zonegroep om de DNS-omzetting voor een privé-eindpunt van web_secondary groupID te overschrijven. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure File Sync configureren voor het gebruik van privé-DNS-zones | Als u toegang wilt krijgen tot de privé-eindpunten voor resourceinterfaces van de opslagsynchronisatieservice vanaf een geregistreerde server, moet u uw DNS configureren om de juiste namen om te schakelen naar de privé-IP-adressen van uw privé-eindpunt. Met dit beleid worden de vereiste Azure Privé-DNS Zone- en A-records gemaakt voor de interfaces van uw privé-eindpunten voor de opslagsynchronisatieservice. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Azure File Sync configureren met privé-eindpunten | Er wordt een privé-eindpunt geïmplementeerd voor de aangegeven opslagsynchronisatieserviceresource. Hiermee kunt u uw opslagsynchronisatieserviceresource adresseren vanuit de privé-IP-adresruimte van het netwerk van uw organisatie, in plaats van via het openbare eindpunt dat toegankelijk is voor internet. Het bestaan van een of meer privé-eindpunten op zichzelf schakelt het openbare eindpunt niet uit. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Diagnostische instellingen configureren voor Blob Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Blob Services geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een blobservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Bestandsservices naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Bestandsservices geïmplementeerd om resourcelogboeken naar een Log Analytics-werkruimte te streamen wanneer een bestandsservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Queue Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Queue Services geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer een wachtrijservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Diagnostische instellingen configureren voor opslagaccounts naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor opslagaccounts geïmplementeerd om resourcelogboeken te streamen naar een Log Analytics-werkruimte wanneer opslagaccounts waarvoor deze diagnostische instellingen ontbreken, worden gemaakt of bijgewerkt. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.0 |
| Diagnostische instellingen configureren voor Table Services naar Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Table Services geïmplementeerd om resourcelogboeken naar een Log Analytics-werkruimte te streamen wanneer een tabelservice waarvoor deze diagnostische instellingen ontbreken, wordt gemaakt of bijgewerkt. Opmerking: dit beleid wordt niet geactiveerd bij het maken van een opslagaccount en vereist het maken van een hersteltaak om het account bij te werken. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 4.0.1 |
| Veilige overdracht van gegevens in een opslagaccount configureren | Veilige overdracht is een optie waarmee het opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Wijzigen, uitgeschakeld | 1.0.0 |
| Opslagaccount configureren voor het gebruik van een private link-verbinding | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw opslagaccount, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Opslagaccounts configureren om openbare netwerktoegang uit te schakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Wijzigen, uitgeschakeld | 1.0.1 |
| Openbare toegang tot uw opslagaccount configureren zodat deze niet is toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. | Wijzigen, uitgeschakeld | 1.0.0 |
| Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Defender for Storage (klassiek) implementeren in opslagaccounts | Met dit beleid schakelt u Defender for Storage (klassiek) in voor opslagaccounts. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Geografisch redundante opslag moet zijn ingeschakeld voor opslagaccounts | Georedundantie gebruiken om maximaal beschikbare toepassingen te maken | Controle, uitgeschakeld | 1.0.0 |
| HPC Cache-accounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Versleuteling at rest van Azure HPC Cache beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault-sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Wijzigen - Azure File Sync configureren om openbare netwerktoegang uit te schakelen | Het openbare eindpunt van Azure File Sync dat toegankelijk is voor internet, wordt uitgeschakeld door uw organisatiebeleid. U hebt nog steeds toegang tot de opslagsynchronisatieservice via de bijbehorende privé-eindpunten. | Wijzigen, uitgeschakeld | 1.0.0 |
| Wijzigen - Uw Opslagaccount configureren om blobversiebeheer in te schakelen | U kunt versiebeheer van Blob Storage inschakelen om automatisch eerdere versies van een object te onderhouden. Wanneer blobversiebeheer is ingeschakeld, hebt u toegang tot eerdere versies van een blob om uw gegevens te herstellen als deze worden gewijzigd of verwijderd. Bestaande opslagaccounts worden niet gewijzigd om Blob Storage-versiebeheer in te schakelen. Alleen nieuw gemaakte opslagaccounts hebben Blob Storage-versiebeheer ingeschakeld | Wijzigen, uitgeschakeld | 1.0.0 |
| Openbare netwerktoegang moet zijn uitgeschakeld voor Azure File Sync | Als u het openbare eindpunt uitschakelt, kunt u de toegang tot uw opslagsynchronisatieserviceresource beperken tot aanvragen die zijn bestemd voor goedgekeurde privé-eindpunten in het netwerk van uw organisatie. Er is niets inherent onveilig over het toestaan van aanvragen voor het openbare eindpunt, maar u kunt het uitschakelen om te voldoen aan wettelijke, juridische of organisatiebeleidsvereisten. U kunt het openbare eindpunt voor een opslagsynchronisatieservice uitschakelen door de inkomendeTrafficPolicy van de resource in te stellen op AllowVirtualNetworksOnly. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Queue Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw wachtrijopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Versleutelingsbereiken van opslagaccounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van de versleutelingsbereiken van uw opslagaccount te beheren. Door de klant beheerde sleutels maken het mogelijk om de gegevens te versleutelen met een Azure-sleutelkluissleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie over versleutelingsbereiken voor opslagaccounts vindt u op https://aka.ms/encryption-scopes-overview. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Versleutelingsbereiken voor opslagaccounts moeten dubbele versleuteling gebruiken voor data-at-rest | Schakel infrastructuurversleuteling in voor versleuteling in rest van de versleutelingsbereiken van uw opslagaccount voor extra beveiliging. Infrastructuurversleuteling zorgt ervoor dat uw gegevens tweemaal worden versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccountsleutels mogen niet verlopen zijn | Zorg ervoor dat de sleutels van het gebruikersopslagaccount niet zijn verlopen wanneer het verloopbeleid voor sleutels is ingesteld, om de beveiliging van accountsleutels te verbeteren door actie te ondernemen wanneer de sleutels zijn verlopen. | Controleren, Weigeren, Uitgeschakeld | 3.0.0 |
| Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan | Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten worden beperkt door toegestane SKU's | Beperk de set opslagaccount-SKU's die uw organisatie kan implementeren. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager-resources | Gebruik de nieuwe Azure Resource Manager voor verbeterde beveiliging van uw opslagaccounts, met onder andere sterker toegangsbeheer (RBAC), betere controle, implementatie en governance op basis van Azure Resource Manager, toegang tot beheerde identiteiten, toegang tot Key Vault voor geheimen, verificatie op basis van Azure AD en ondersteuning voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten openbare netwerktoegang uitschakelen | Om de beveiliging van opslagaccounts te verbeteren, moet u ervoor zorgen dat ze niet worden blootgesteld aan het openbare internet en alleen toegankelijk zijn vanuit een privé-eindpunt. Schakel de eigenschap openbare netwerktoegang uit zoals beschreven in https://aka.ms/storageaccountpublicnetworkaccess. Met deze optie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. Dit vermindert risico's voor gegevenslekken. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld | Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor opslagaccounts moet sas-beleid (Shared Access Signature) zijn geconfigureerd | Zorg ervoor dat voor opslagaccounts het verloopbeleid voor Shared Access Signature (SAS) is ingeschakeld. Gebruikers gebruiken een SAS om toegang tot resources in een Azure Storage-account te delegeren. Het sas-verloopbeleid raadt een hogere verlooplimiet aan wanneer een gebruiker een SAS-token maakt. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten de opgegeven minimale TLS-versie hebben | Configureer een minimale TLS-versie voor beveiligde communicatie tussen de clienttoepassing en het opslagaccount. Om het beveiligingsrisico te minimaliseren, is de aanbevolen minimale TLS-versie de meest recente versie, die momenteel TLS 1.2 is. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten replicatie van meerdere tenantobjecten voorkomen | Controleer de beperking van objectreplicatie voor uw opslagaccount. Standaard kunnen gebruikers objectreplicatie configureren met een bronopslagaccount in één Azure AD-tenant en een doelaccount in een andere tenant. Het is een beveiligingsprobleem omdat de gegevens van de klant kunnen worden gerepliceerd naar een opslagaccount dat eigendom is van de klant. Door allowCrossTenantReplication in te stellen op false, kan de replicatie van objecten alleen worden geconfigureerd als beide bron- en doelaccounts zich in dezelfde Azure AD-tenant bevinden. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen | Controleer de vereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory-referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Azure AD blinkt van deze twee typen autorisaties uit op het gebied van beveiliging en gebruiksgemak en wordt door Microsoft aanbevolen boven het gebruik van Gedeelde sleutel. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controle, uitgeschakeld | 1.0.3 |
| Opslagaccounts moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Table Storage moet een door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw tabelopslag met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
Stream Analytics
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Voor Azure Stream Analytics-taken moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van gegevens | Gebruik door de klant beheerde sleutels wanneer u metagegevens en persoonlijke gegevensassets van uw Stream Analytics-taken veilig wilt opslaan in uw opslagaccount. Hiermee hebt u volledige controle over hoe uw Stream Analytics-gegevens worden versleuteld. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Stream Analytics-taak moet verbinding maken met vertrouwde invoer en uitvoer | Zorg ervoor dat Stream Analytics-taken geen willekeurige invoer- of uitvoerverbindingen hebben die niet zijn gedefinieerd in de acceptatielijst. Hiermee wordt gecontroleerd of Stream Analytics-taken geen gegevens exfiltreren door verbinding te maken met willekeurige sinks buiten uw organisatie. | Weigeren, Uitgeschakeld, Controleren | 1.1.0 |
| Stream Analytics-taak moet beheerde identiteit gebruiken om eindpunten te verifiëren | Zorg ervoor dat Stream Analytics-taken alleen verbinding maken met eindpunten met behulp van verificatie van beheerde identiteiten. | Weigeren, Uitgeschakeld, Controleren | 1.0.0 |
Synapse
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Controle in Synapse-werkruimte moet zijn ingeschakeld | Controle op uw Synapse-werkruimte moet zijn ingeschakeld om databaseactiviteiten in alle databases in de toegewezen SQL-pools bij te houden en op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Toegewezen SQL-pools van Azure Synapse Analytics moeten versleuteling inschakelen | Schakel transparante gegevensversleuteling in voor toegewezen SQL-pools van Azure Synapse Analytics om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten. Houd er rekening mee dat het inschakelen van transparante gegevensversleuteling voor de pool van invloed kan zijn op de queryprestaties. Meer informatie kan verwijzen naar https://go.microsoft.com/fwlink/?linkid=2147714 | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Synapse Workspace SQL Server moet TLS-versie 1.2 of hoger uitvoeren | Als u TLS-versie instelt op 1.2 of hoger, verbetert u de beveiliging door ervoor te zorgen dat de SQL-server van uw Azure Synapse-werkruimte alleen toegankelijk is vanaf clients die TLS 1.2 of hoger gebruiken. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure Synapse-werkruimten mogen uitgaand gegevensverkeer alleen naar goedgekeurde doelen toestaan | Verhoog de beveiliging van uw Synapse-werkruimte door uitgaand gegevensverkeer alleen toe te staan aan goedgekeurde doelen. Dit helpt preventie tegen gegevensexfiltratie door het doel te valideren voordat gegevens worden verzonden. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Azure Synapse-werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Synapse-werkruimte niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw Synapse-werkruimten beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Voor Azure Synapse-werkruimten moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Gebruik door de klant beheerde sleutels om de versleuteling 'at rest' van de opgeslagen gegevens in Azure Synapse-werkruimten te beheren. Door de klant beheerde sleutels bieden dubbele versleuteling door een tweede laag versleuteling toe te voegen boven op de standaard versleuteling met door service beheerde sleutels. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten moeten gebruikmaken van private link | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te staan aan een Azure Synapse-werkruimte, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | Controle, uitgeschakeld | 1.0.1 |
| Toegewezen SQL-minimumversie van Azure Synapse-werkruimte configureren | Klanten kunnen de minimale TLS-versie verhogen of verlagen met behulp van de API, voor zowel nieuwe Synapse-werkruimten als bestaande werkruimten. Gebruikers die een lagere clientversie in de werkruimten moeten gebruiken, kunnen dus verbinding maken terwijl gebruikers met een beveiligingsvereiste de minimale TLS-versie kunnen verhogen. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Wijzigen, uitgeschakeld | 1.1.0 |
| Azure Synapse-werkruimten configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Synapse-werkruimte uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/connectivity-settings. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Synapse-werkruimten configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in een Azure Synapse-werkruimte. Zie voor meer informatie: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-from-restricted-network#appendix-dns-registration-for-private-endpoint. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Azure Synapse-werkruimten configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerk met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te wijden aan Azure Synapse-werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Synapse-werkruimten configureren om controle ingeschakeld te hebben | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten voor Synapse-werkruimten controle zijn ingeschakeld. Dit is soms vereist voor naleving van regelgevingsstandaarden. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| Synapse-werkruimten configureren om controle in te schakelen voor Log Analytics-werkruimte | Om ervoor te zorgen dat de bewerkingen die worden uitgevoerd op uw SQL-assets worden vastgelegd, moeten voor Synapse-werkruimten controle zijn ingeschakeld. Als controle niet is ingeschakeld, configureert dit beleid controlegebeurtenissen om naar de opgegeven Log Analytics-werkruimte te stromen. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Synapse-werkruimten configureren om alleen Microsoft Entra-identiteiten te gebruiken voor verificatie | Synapse-werkruimten vereisen en opnieuw configureren voor het gebruik van alleen-Microsoft Entra-verificatie. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Er wordt wel voorkomen dat lokale verificatie wordt ingeschakeld en dat Microsoft Entra-verificatie opnieuw wordt ingeschakeld op resources nadat deze zijn gemaakt. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Wijzigen, uitgeschakeld | 1.0.0 |
| Synapse-werkruimten configureren om alleen Microsoft Entra-identiteiten te gebruiken voor verificatie tijdens het maken van de werkruimte | Synapse-werkruimten vereisen en opnieuw configureren om te worden gemaakt met Alleen-entra-verificatie van Microsoft. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Wijzigen, uitgeschakeld | 1.2.0 |
| De IP-firewallregels voor Azure Synapse-werkruimten moeten worden verwijderd | Als u alle IP-firewallregels verwijdert, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Azure Synapse-werkruimte alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie controleert het maken van firewallregels die openbare netwerktoegang tot de werkruimte toestaan. | Controle, uitgeschakeld | 1.0.0 |
| Het virtuele netwerk van de beheerde werkruimte in Azure Synapse-werkruimten moet zijn ingeschakeld | Als u een virtueel netwerk voor een beheerde werkruimte inschakelt zorgt u ervoor dat uw werkruimte binnen het netwerk is afgeschermd van andere werkruimten. Gegevensintegratie en Apache Spark-resources die zijn geïmplementeerd in dit virtuele netwerk, bieden ook isolatie op gebruikersniveau voor Apache Spark-activiteiten. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Door Synapse beheerde privé-eindpunten mogen alleen verbinding maken met resources in goedgekeurde Azure Active Directory-tenants | Beveilig uw Synapse-werkruimte door alleen verbindingen met resources in goedgekeurde Azure Active Directory-tenants (Azure AD) toe te staan. De goedgekeurde Azure AD-tenants kunnen worden gedefinieerd tijdens de beleidstoewijzing. | Controleren, uitgeschakeld, weigeren | 1.0.0 |
| Controle-instellingen voor Synapse-werkruimte moeten actiegroepen hebben geconfigureerd om kritieke activiteiten vast te leggen | Om ervoor te zorgen dat uw auditlogboeken zo grondig mogelijk zijn, moet de eigenschap AuditActionsAndGroups alle relevante groepen bevatten. U wordt aangeraden ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP en BATCH_COMPLETED_GROUP toe te voegen. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Synapse-werkruimten moeten alleen-microsoft-verificatie hebben ingeschakeld | Synapse-werkruimten vereisen dat alleen Microsoft Entra-verificatie wordt gebruikt. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Synapse-werkruimten mogen alleen Microsoft Entra-identiteiten gebruiken voor verificatie tijdens het maken van de werkruimte | Vereisen dat Synapse-werkruimten worden gemaakt met alleen Microsoft Entra-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'Alleen-microsoft-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Synapse-werkruimten met SQL-controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de SQL-controle van uw Synapse-werkruimte in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor uw Synapse-werkruimten | Detecteer, traceer en herstel potentiële beveiligingsproblemen door terugkerende SQL-evaluatie van beveiligingsproblemen te configureren in uw Synapse-werkruimten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
Tags
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Een tag toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan resources | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. Hiermee worden geen tags van resourcegroepen gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd of vervangen wanneer een resourcegroep wordt gemaakt of bijgewerkt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in resources | Hiermee worden de opgegeven tag en waarde toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Hiermee worden geen tags van resourcegroepen gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak, of vervangt deze. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Een tag met de bijbehorende waarde toevoegen vanuit de resourcegroep | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit de resourcegroep toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resources die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resources zijn gewijzigd. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.0 |
| Een tag met bijbehorende waarde toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resourcegroepen die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resourcegroepen zijn gewijzigd. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.0 |
| Een tag en de bijbehorende waarde toevoegen aan resources | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resources die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resources zijn gewijzigd. Is niet van toepassing op resourcegroepen. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.1 |
| Een tag overnemen van de resourcegroep | Hiermee worden de opgegeven tag en waarde van de bovenliggende resourcegroep toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag overnemen van de resourcegroep indien deze ontbreekt | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit de bovenliggende resourcegroep toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag overnemen van het abonnement | Hiermee worden de opgegeven tag en waarde vanuit het abonnement dat ze bevat, toegevoegd of vervangen wanneer een resource wordt gemaakt of bijgewerkt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag overnemen van het abonnement indien deze ontbreekt | Hiermee wordt de opgegeven tag met de bijbehorende waarde vanuit het abonnement dat de tag bevat, toegevoegd wanneer een resource wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resources kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag met bijbehorende waarde vereisen voor resourcegroepen | Hiermee wordt een vereiste tag met de bijbehorende waarde afgedwongen in resourcegroepen. | deny | 1.0.0 |
| Een tag met bijbehorende waarde vereisen voor resources | Hiermee wordt een vereiste tag met de bijbehorende waarde afgedwongen. Is niet van toepassing op resourcegroepen. | deny | 1.0.1 |
| Een tag vereisen voor resourcegroepen | Hiermee wordt het bestaan van een tag in resourcegroepen afgedwongen. | deny | 1.0.0 |
| Een tag vereisen voor resources | Hiermee wordt het bestaan van een tag afgedwongen. Is niet van toepassing op resourcegroepen. | deny | 1.0.1 |
Vertrouwde start
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Schijven en installatiekopieën van het besturingssysteem moeten trustedLaunch ondersteunen | TrustedLaunch verbetert de beveiliging van een virtuele machine waarvoor besturingssysteemschijf en installatiekopieën van het besturingssysteem moeten worden ondersteund (Gen 2). Ga voor meer informatie over TrustedLaunch naar https://aka.ms/trustedlaunch | Controle, uitgeschakeld | 1.0.0 |
| Voor virtuele machine moet TrustedLaunch zijn ingeschakeld | Enable TrustedLaunch on Virtual Machine for enhanced security, use VM SKU (Gen 2) that supports TrustedLaunch. Ga voor meer informatie over TrustedLaunch naar https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch | Controle, uitgeschakeld | 1.0.0 |
VirtualEnclaves
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Configureer opslagaccounts om de netwerktoegang te beperken via de configuratie van de netwerk-ACL. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Wijzigen, uitgeschakeld | 1.0.0 |
| Het maken van resourcetypen buiten de acceptatielijst niet toestaan | Dit beleid voorkomt de implementatie van resourcetypen buiten de expliciet toegestane typen om de beveiliging in een virtuele enclave te behouden. https://aka.ms/VirtualEnclaves | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Het maken van opgegeven resourcetypen of -typen onder specifieke providers niet toestaan | De resourceproviders en typen die via de parameterlijst zijn opgegeven, mogen niet worden gemaakt zonder expliciete goedkeuring van het beveiligingsteam. Als een uitzondering wordt verleend aan de beleidstoewijzing, kan de resource worden gebruikt binnen de enclave. https://aka.ms/VirtualEnclaves | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Netwerkinterfaces moeten zijn verbonden met een goedgekeurd subnet van het goedgekeurde virtuele netwerk | Met dit beleid kunnen netwerkinterfaces geen verbinding maken met een virtueel netwerk of subnet dat niet is goedgekeurd. https://aka.ms/VirtualEnclaves | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten alleen netwerktoegang beperken via de netwerk-ACL-bypassconfiguratie. | Als u de beveiliging van opslagaccounts wilt verbeteren, schakelt u alleen toegang in via netwerk-ACL-bypass. Dit beleid moet worden gebruikt in combinatie met een privé-eindpunt voor toegang tot het opslagaccount. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
VM Image Builder
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| VM Image Builder-sjablonen moeten een private link gebruiken | Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
Web PubSub
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Azure Web PubSub Service moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Azure Web PubSub-service niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van de Azure Web PubSub-service beperken. Zie voor meer informatie: https://aka.ms/awps/networkacls. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service moet diagnostische logboeken inschakelen | Inschakeling van diagnostische logboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor de Azure Web PubSub-service moeten lokale verificatiemethoden zijn uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Azure Web PubSub Service uitsluitend Azure Active Directory-identiteiten vereist voor verificatie. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Web PubSub-service moet een SKU gebruiken die ondersteuning biedt voor private link | Met ondersteunde SKU kunt u met Azure Private Link uw virtuele netwerk verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De Azure Web PubSub-service moet gebruikmaken van een privékoppeling | Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het privékoppelingsplatform zorgt voor de connectiviteit tussen de consument en de services via het Azure-backbonenetwerk. Door privé-eindpunten toe te voegen aan uw Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | Controle, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren om lokale verificatie uit te schakelen | Schakel lokale verificatiemethoden uit, zodat voor uw Azure Web PubSub-service uitsluitend Azure Active Directory-identiteiten zijn vereist voor verificatie. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren om openbare netwerktoegang uit te schakelen | Schakel openbare netwerktoegang voor uw Azure Web PubSub-resource uit, zodat deze niet toegankelijk is via het openbare internet. Dit kan de risico's voor gegevenslekken verminderen. Zie voor meer informatie: https://aka.ms/awps/networkacls. | Wijzigen, uitgeschakeld | 1.0.0 |
| Azure Web PubSub Service configureren voor het gebruik van privé-DNS-zones | Gebruik privé-DNS-zones om de DNS-resolutie voor een privé-eindpunt te overschrijven. Een privé-DNS-zone is gekoppeld aan uw virtuele netwerk om te worden omgezet in de Azure Web PubSub-service. Zie voor meer informatie: https://aka.ms/awps/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Web PubSub-service configureren met privé-eindpunten | Privé-eindpunten verbinden uw virtuele netwerken met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te laten aan de Azure Web PubSub-service, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/awps/privatelink. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.