Details van het ingebouwde initiatief naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark 2.0.0

Artikel
11/04/2024

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in CIS Microsoft Azure Foundations Benchmark 2.0.0. Zie CIS Microsoft Azure Foundations Benchmark 2.0.0 voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen zijn voor de besturingselementen CIS Microsoft Azure Foundations Benchmark 2.0.0 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark v2.0.0 .

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

1.1

Controleren of standaardinstellingen voor beveiliging zijn ingeschakeld in Azure Active Directory

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.1.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Verifiëren bij cryptografische module	CMA_0021 - Verifiëren bij cryptografische module	Handmatig, uitgeschakeld	1.1.0
Externe toegang autoriseren	CMA_0024 - Externe toegang autoriseren	Handmatig, uitgeschakeld	1.1.0
Training voor documentmobiliteit	CMA_0191 - Training voor documentmobiliteit	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor externe toegang document	CMA_0196 - Richtlijnen voor externe toegang document	Handmatig, uitgeschakeld	1.1.0
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen	CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen	Handmatig, uitgeschakeld	1.1.0
Privacytraining bieden	CMA_0415 - Privacytraining bieden	Handmatig, uitgeschakeld	1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens	CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de status van Multi-Factor Authentication is ingeschakeld voor alle bevoegde gebruikers

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.1.2: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de status van Multi-Factor Authentication is ingeschakeld voor alle niet-bevoegde gebruikers

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.1.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld	Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources.	AuditIfNotExists, uitgeschakeld	1.0.0
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen' is uitgeschakeld

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.1.4: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens	CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens	Handmatig, uitgeschakeld	1.1.0

1

Zorg ervoor dat 'Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen?' is ingesteld op Ja

Id: Aanbeveling 1.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Training implementeren voor het beveiligen van verificators	CMA_0329 - Training implementeren voor het beveiligen van verificators	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte roltoewijzing bewaken	CMA_0378 - Bevoorrechte roltoewijzing bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0
Toegang tot bevoegde accounts beperken	CMA_0446 - Toegang tot bevoegde accounts beperken	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte rollen intrekken, indien van toepassing	CMA_0483 - Bevoegde rollen intrekken, indien van toepassing	Handmatig, uitgeschakeld	1.1.0
Privileged Identity Management gebruiken	CMA_0533 - Privileged Identity Management gebruiken	Handmatig, uitgeschakeld	1.1.0

Controleren `User consent for applications` of is ingesteld op `Do not allow user consent`

Id: Aanbeveling 1.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers galerie-apps kunnen toevoegen aan Mijn apps' is ingesteld op Nee

Id: Aanbeveling 1.13 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee

Id: Aanbeveling 1.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Toegangsbeperkingen voor gastgebruikers' is ingesteld op 'Toegang van gastgebruikers is beperkt tot eigenschappen en lidmaatschappen van hun eigen directoryobjecten'

Id: Aanbeveling 1.15 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Beperkingen voor gastnodiging' is ingesteld op 'Alleen gebruikers die zijn toegewezen aan specifieke beheerdersrollen kunnen gastgebruikers uitnodigen'

Id: Aanbeveling 1.16 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Toegang tot de Azure AD-beheerportal beperken' is ingesteld op Ja

Id: Aanbeveling 1.17 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikerstoegang tot groepsfuncties in het toegangsvenster beperken' is ingesteld op Ja

Id: Aanbeveling 1.18 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen beveiligingsgroepen maken in Azure-portals, API of PowerShell' is ingesteld op Nee

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.19: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Eigenaren kunnen groepslidmaatschapsaanvragen beheren in de Toegangsvenster' is ingesteld op Nee

Id: Aanbeveling 1.20 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen Microsoft 365-groepen maken in Azure-portals, API of PowerShell' is ingesteld op Nee

Id: Aanbeveling 1.21 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Multi-Factor Authentication vereisen voor het registreren of koppelen van apparaten met Azure AD' is ingesteld op Ja

Id: Aanbeveling 1.22 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Externe toegang autoriseren	CMA_0024 - Externe toegang autoriseren	Handmatig, uitgeschakeld	1.1.0
Training voor documentmobiliteit	CMA_0191 - Training voor documentmobiliteit	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor externe toegang document	CMA_0196 - Richtlijnen voor externe toegang document	Handmatig, uitgeschakeld	1.1.0
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen	CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen	Handmatig, uitgeschakeld	1.1.0
Privacytraining bieden	CMA_0415 - Privacytraining bieden	Handmatig, uitgeschakeld	1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens	CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er geen aangepaste abonnementsbeheerdersrollen bestaan

Id: Aanbeveling 1.23 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Gebruik van aangepaste RBAC-rollen controleren	Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering	Controle, uitgeschakeld	1.0.1
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat aan een aangepaste rol machtigingen zijn toegewezen voor het beheren van resourcevergrendelingen

Id: Aanbeveling 1.24 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat gastgebruikers regelmatig worden gecontroleerd

Id: aanbeveling 1.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen	CMA_C1040 : gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen	Handmatig, uitgeschakeld	1.1.0
Accountinrichtingslogboeken controleren	CMA_0460 - Accountinrichtingslogboeken controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersaccounts controleren	CMA_0480 - Gebruikersaccounts controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersbevoegdheden controleren	CMA_C1039 - Gebruikersbevoegdheden controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen' niet is ingesteld op '0'

Id: Aanbeveling 1.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat gebruikers op de hoogte worden gesteld van het opnieuw instellen van wachtwoorden? is ingesteld op Ja

Id: Aanbeveling 1.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Training implementeren voor het beveiligen van verificators	CMA_0329 - Training implementeren voor het beveiligen van verificators	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

10

Zorg ervoor dat resourcevergrendelingen zijn ingesteld voor Bedrijfskritieke Azure-resources

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 10.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Processen voor het instellen en wijzigen van documenten	CMA_0265 - Processen voor het instellen en wijzigen van documenten	Handmatig, uitgeschakeld	1.1.0

2.1

Zorg ervoor dat Microsoft Defender voor servers is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor servers moet zijn ingeschakeld	Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.	AuditIfNotExists, uitgeschakeld	1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor Key Vault is ingesteld op Aan

Id: Aanbeveling 2.1.1.10 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor Key Vault moet zijn ingeschakeld	Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.	AuditIfNotExists, uitgeschakeld	1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor DNS is ingesteld op Aan

Id: Aanbeveling 2.1.1.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Afgeschaft]: Azure Defender voor DNS moet zijn ingeschakeld	Deze beleidsdefinitie is niet langer de aanbevolen manier om de intentie ervan te bereiken, omdat de DNS-bundel wordt afgeschaft. In plaats van dit beleid te blijven gebruiken, raden we u aan dit vervangingsbeleid toe te wijzen met beleids-id 4da35fc9-c9e7-4960-aec9-797fe7d9051d. Meer informatie over afschaffing van beleidsdefinities op aka.ms/policydefdeprecation	AuditIfNotExists, uitgeschakeld	1.1.0 afgeschaft

Zorg ervoor dat Microsoft Defender voor Resource Manager is ingesteld op Aan

Id: Aanbeveling 2.1.1.12 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor Resource Manager moet zijn ingeschakeld	Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center .	AuditIfNotExists, uitgeschakeld	1.0.0

Zorg ervoor dat de microsoft Defender-aanbeveling voor de status 'Systeemupdates toepassen' 'Voltooid' is

Id: Aanbeveling 2.1.1.13 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates	Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode.	Controleren, Weigeren, Uitgeschakeld	3.7.0

Zorg ervoor dat een van de standaardbeleidsinstellingen van ASC niet is ingesteld op Uitgeschakeld

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.14: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Acties configureren voor niet-compatibele apparaten	CMA_0062 - Acties configureren voor niet-compatibele apparaten	Handmatig, uitgeschakeld	1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden	CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden	Handmatig, uitgeschakeld	1.1.0
Beveiligingsconfiguratie-instellingen afdwingen	CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerbord instellen	CMA_0254 - Een configuratiebeheerbord instellen	Handmatig, uitgeschakeld	1.1.0
Een configuratiebeheerplan instellen en documenteer	CMA_0264 - Een configuratiebeheerplan maken en documenteer	Handmatig, uitgeschakeld	1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat automatische inrichting van de Log Analytics-agent voor Azure-VM's is ingesteld op 'Aan'

Id: Aanbeveling 2.1.1.15 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Documentbeveiligingsbewerkingen	CMA_0202 - Documentbeveiligingsbewerkingen	Handmatig, uitgeschakeld	1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing	CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat automatische inrichting van onderdelen van Microsoft Defender for Containers is ingesteld op Aan

Id: Aanbeveling 2.1.1.17 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld	Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Aanvullende e-mailadressen' zijn geconfigureerd met een e-mailadres van een beveiligingscontactpersoon

Id: Aanbeveling 2.1.1.19 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1

Zorg ervoor dat Microsoft Defender voor App Services is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.2: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor App Service moet zijn ingeschakeld	Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.	AuditIfNotExists, uitgeschakeld	1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Waarschuwen over waarschuwingen met de volgende ernst' is ingesteld op 'Hoog'

Id: Aanbeveling 2.1.20 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.2.0

Zorg ervoor dat Microsoft Defender voor Cloud Apps-integratie met Microsoft Defender voor Cloud is geselecteerd

Id: Aanbeveling 2.1.21 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor Eindpunt integratie met Microsoft Defender voor Cloud is geselecteerd

Id: Aanbeveling 2.1.22 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor databases is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld	Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center	AuditIfNotExists, uitgeschakeld	1.0.0
Azure Defender voor SQL-servers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Microsoft Defender voor Azure Cosmos DB moet zijn ingeschakeld	Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders.	AuditIfNotExists, uitgeschakeld	1.0.0

Zorg ervoor dat Microsoft Defender voor Azure SQL-databases is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.4: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor SQL-servers op computers is ingesteld op Aan

Id: Aanbeveling 2.1.5 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor SQL-servers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor opensource-relationele databases is ingesteld op Aan

Id: Aanbeveling 2.1.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor relationele opensource-databases moet zijn ingeschakeld	Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center	AuditIfNotExists, uitgeschakeld	1.0.0

Zorg ervoor dat Microsoft Defender voor Opslag is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Microsoft Defender voor Storage moet zijn ingeschakeld	Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten.	AuditIfNotExists, uitgeschakeld	1.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor containers is ingesteld op Aan

Id: Aanbeveling 2.1.8 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld	Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Microsoft Defender voor Azure Cosmos DB is ingesteld op Aan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.1.9: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Microsoft Defender voor Azure Cosmos DB moet zijn ingeschakeld	Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders.	AuditIfNotExists, uitgeschakeld	1.0.0

3

Controleren of 'beveiligde overdracht vereist' is ingesteld op 'ingeschakeld'

Id: Aanbeveling 3.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0

Zorg ervoor dat privé-eindpunten worden gebruikt voor toegang tot opslagaccounts

Id: Aanbeveling 3.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Opslagaccounts moeten gebruikmaken van private link	Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview	AuditIfNotExists, uitgeschakeld	2.0.0

Zorg ervoor dat opslag voor kritieke gegevens is versleuteld met door de klant beheerde sleutels

Id: Aanbeveling 3.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling	Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen.	Controle, uitgeschakeld	1.0.3

Zorg ervoor dat logboekregistratie van opslag is ingeschakeld voor Blob Service voor lees-, Schrijf- en Delete-aanvragen

Id: Aanbeveling 3.13 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor Table Service voor aanvragen voor lezen, schrijven en verwijderen

Id: Aanbeveling 3.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de minimale TLS-versie voor opslagaccounts is ingesteld op Versie 1.2

Id: Aanbeveling 3.15 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten de opgegeven minimale TLS-versie hebben	Configureer een minimale TLS-versie voor beveiligde communicatie tussen de clienttoepassing en het opslagaccount. Om het beveiligingsrisico te minimaliseren, is de aanbevolen minimale TLS-versie de meest recente versie, die momenteel TLS 1.2 is.	Controleren, Weigeren, Uitgeschakeld	1.0.0

Zorg ervoor dat 'Infrastructuurversleuteling inschakelen' voor elk opslagaccount in Azure Storage is ingesteld op 'ingeschakeld'

Id: Aanbeveling 3.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voor opslagaccounts moet versleuteling van infrastructuur zijn ingeschakeld	Schakel versleuteling van de infrastructuur in voor een hogere mate van zekerheid dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden gegevens in een opslagaccount twee keer versleuteld.	Controleren, Weigeren, Uitgeschakeld	1.0.0

Zorg ervoor dat toegangssleutels voor opslagaccounts periodiek opnieuw worden gegenereerd

Id: Aanbeveling 3.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat logboekregistratie van opslag is ingeschakeld voor Queue Service voor lees-, Schrijf- en Delete-aanvragen

Id: Aanbeveling 3.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Shared Access Signature-tokens binnen een uur verlopen

Id: Aanbeveling 3.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Verificators uitschakelen na beëindiging	CMA_0169 - Verificators uitschakelen na beëindiging	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte rollen intrekken, indien van toepassing	CMA_0483 - Bevoegde rollen intrekken, indien van toepassing	Handmatig, uitgeschakeld	1.1.0
Gebruikerssessie automatisch beëindigen	CMA_C1054 - Gebruikerssessie automatisch beëindigen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat openbaar toegangsniveau is uitgeschakeld voor opslagaccounts met blobcontainers

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 3.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan	Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	3.1.0-preview
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardregel voor netwerktoegang voor opslagaccounts is ingesteld op Weigeren

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 3.8: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Netwerktoegang tot opslagaccounts moet zijn beperkt	Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet	Controleren, Weigeren, Uitgeschakeld	1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken	Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts.	Controleren, Weigeren, Uitgeschakeld	1.0.1

Zorg ervoor dat 'Toestaan dat Azure-services in de lijst met vertrouwde services toegang krijgen tot dit opslagaccount' is ingeschakeld voor toegang tot opslagaccounts

Id: Aanbeveling 3.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan	Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.	Controleren, Weigeren, Uitgeschakeld	1.0.0

4.1

Controleren of 'Controle' is ingesteld op 'Aan'

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.1.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controle op SQL Server moet zijn ingeschakeld	Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.	AuditIfNotExists, uitgeschakeld	2.0.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat geen toegangsbeheer van Azure SQL Databases is toegestaan vanaf 0.0.0.0/0 (ELK IP-adres)

Id: Aanbeveling 4.1.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Openbare netwerktoegang voor Azure SQL Database moet zijn uitgeschakeld	Het uitschakelen van de eigenschap openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk.	Controleren, Weigeren, Uitgeschakeld	1.1.0

Zorg ervoor dat de TDE-beveiliging (Transparent Data Encryption) van DE SQL-server is versleuteld met door de klant beheerde sleutel

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.1.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.0
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.1

Zorg ervoor dat de Azure Active Directory-beheerder is geconfigureerd voor SQL-servers

Id: Aanbeveling 4.1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers	Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk	AuditIfNotExists, uitgeschakeld	1.0.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Controleren of 'gegevensversleuteling' is ingesteld op 'ingeschakeld' op een SQL Database

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.1.5: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld	Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten	AuditIfNotExists, uitgeschakeld	2.0.0

Controleren of de bewaarperiode van de 'Controle' 'groter is dan 90 dagen'

Id: Aanbeveling 4.1.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger	Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden.	AuditIfNotExists, uitgeschakeld	3.0.0

4.2

Zorg ervoor dat Microsoft Defender voor SQL is ingesteld op Aan voor kritieke SQL-servers

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.2.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Evaluatie van beveiligingsproblemen (VA) is ingeschakeld op een SQL-server door een opslagaccount in te stellen

Id: Aanbeveling 4.2.2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance	Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers	Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	3.0.0

Zorg ervoor dat de instelling Evaluatie van beveiligingsproblemen (VA) 'Periodieke terugkerende scans' is ingesteld op 'aan' voor elke SQL-server

Id: Aanbeveling 4.2.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance	Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	1.0.1

Zorg ervoor dat de instelling 'Scanrapporten verzenden naar' is geconfigureerd voor een SQL-server

Id: Aanbeveling 4.2.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Scangegevens voor beveiligingsproblemen correleren	CMA_C1558 - Scangegevens voor beveiligingsproblemen correleren	Handmatig, uitgeschakeld	1.1.1
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers	Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	3.0.0

Zorg ervoor dat de instelling 'Ook e-mailmeldingen verzenden naar beheerders en abonnementseigenaren' is ingesteld voor elke SQL Server

Id: Aanbeveling 4.2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Scangegevens voor beveiligingsproblemen correleren	CMA_C1558 - Scangegevens voor beveiligingsproblemen correleren	Handmatig, uitgeschakeld	1.1.1
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0
SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost	Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases.	AuditIfNotExists, uitgeschakeld	4.1.0
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers	Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen.	AuditIfNotExists, uitgeschakeld	3.0.0

4.3

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op ‘INGESCHAKELD’ voor PostgreSQL-databaseservers

Id: Aanbeveling 4.3.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers	Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de serverparameter 'log_checkpoints' is ingesteld op 'AAN' voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Logboekcontrolepunten moeten zijn ingeschakeld voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_checkpoints hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of de serverparameter ‘log_connections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.3.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_connections hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of dat de serverparameter ‘log_disconnections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Verbroken verbindingen moeten in een logboek worden vastgelegd voor PostgreSQL-databaseservers.	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_disconnections hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of de serverparameter ‘connection_throttling’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.5 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Verbinding beperken moet worden ingeschakeld voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er verbindingsbeperking hoeft te worden ingeschakeld. Met deze instelling schakelt u tijdelijke beperking van de verbinding per IP in voor te veel ongeldige wachtwoordaanmeldingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de serverparameter 'log_retention_days' langer is dan 3 dagen voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Toegang tot Azure-services toestaan voor PostgreSQL Database Server is uitgeschakeld

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.3.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheren	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Openbare netwerktoegang moet zijn uitgeschakeld voor flexibele PostgreSQL-servers	Het uitschakelen van de eigenschap voor openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw flexibele Azure Database for PostgreSQL-servers alleen toegankelijk zijn vanuit een privé-eindpunt. Met deze configuratie wordt de toegang strikt uitgeschakeld vanuit een openbare adresruimte buiten het Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP.	Controleren, Weigeren, Uitgeschakeld	3.1.0
Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers	Schakel de eigenschap 'openbare netwerktoegang' uit om de beveiliging te verbeteren en ervoor te zorgen dat uw Azure Database for PostgreSQL alleen toegankelijk is vanuit een privé-eindpunt. Met deze configuratie wordt de toegang vanuit elke openbare adresruimte buiten Azure IP-bereik uitgeschakeld. Hiernaast worden alle aanmeldingen geweigerd die overeenkomen met firewallregels op basis van IP of virtueel netwerk.	Controleren, Weigeren, Uitgeschakeld	2.0.1

Zorg ervoor dat 'Dubbele infrastructuurversleuteling' voor PostgreSQL-databaseserver is ingeschakeld

Id: Aanbeveling 4.3.8 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Infrastructuurversleuteling moet zijn ingeschakeld voor Azure Database for PostgreSQL-servers	Schakel infrastructuurversleuteling in voor Azure Database for PostgreSQL-servers als u een hogere mate van zekerheid wilt hebben dat de gegevens veilig zijn. Wanneer infrastructuurversleuteling is ingeschakeld, worden de data-at-rest twee keer versleuteld met behulp van FIPS 140-2-compatibele, door Microsoft beheerde sleutels	Controleren, Weigeren, Uitgeschakeld	1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

4.4

Zorg ervoor dat SSL-verbinding afdwingen is ingesteld op Ingeschakeld voor Standard MySQL-databaseserver

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.4.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers	Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Controle, uitgeschakeld	1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de TLS-versie is ingesteld op TLSV1.2 voor De flexibele MySQL-databaseserver

Id: Aanbeveling 4.4.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

4.5

Zorg ervoor dat firewalls en netwerken beperkt zijn tot het gebruik van geselecteerde netwerken in plaats van alle netwerken

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.5.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Cosmos DB-accounts moeten firewallregels bevatten	Er moeten firewallregels worden gedefinieerd voor uw Azure Cosmos DB-accounts om verkeer van niet-geautoriseerde bronnen te blokkeren. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel.	Controleren, Weigeren, Uitgeschakeld	2.1.0

Zorg ervoor dat privé-eindpunten waar mogelijk worden gebruikt

Id: Aanbeveling 4.5.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
CosmosDB-accounts moeten private link gebruiken	Met Azure Private Link kunt u uw virtuele netwerk met services in Azure verbinden zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints.	Controle, uitgeschakeld	1.0.0

Gebruik waar mogelijk AAD-clientverificatie (Azure Active Directory) en Azure RBAC.

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.5.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Cosmos DB-databaseaccounts moeten lokale verificatiemethoden hebben uitgeschakeld	Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Cosmos DB-databaseaccounts uitsluitend Azure Active Directory-identiteiten vereisen voor verificatie. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth.	Controleren, Weigeren, Uitgeschakeld	1.1.0

5.1

Zorg ervoor dat er een diagnostische instelling bestaat

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.1.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de diagnostische instelling de juiste categorieën vastlegt

Id: Aanbeveling 5.1.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen	Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen	Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de opslagcontainer die de activiteitenlogboeken opslaat niet openbaar toegankelijk is

Id: Aanbeveling 5.1.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan	Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.	controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld	3.1.0-preview
Dubbele of gezamenlijke autorisatie inschakelen	CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens beveiligen	CMA_0401 - Controlegegevens beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat het opslagaccount met de container met activiteitenlogboeken is versleuteld met door de klant beheerde sleutel

Id: Aanbeveling 5.1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Dubbele of gezamenlijke autorisatie inschakelen	CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen	Handmatig, uitgeschakeld	1.1.0
Integriteit van controlesysteem behouden	CMA_C1133 - Integriteit van controlesysteem behouden	Handmatig, uitgeschakeld	1.1.0
Controlegegevens beveiligen	CMA_0401 - Controlegegevens beveiligen	Handmatig, uitgeschakeld	1.1.0
Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK	Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok.	AuditIfNotExists, uitgeschakeld	1.0.0

Zorg ervoor dat logboekregistratie voor Azure Key Vault is ingeschakeld

Id: Aanbeveling 5.1.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat stroomlogboeken voor netwerkbeveiligingsgroepen worden vastgelegd en verzonden naar Log Analytics

Id: Aanbeveling 5.1.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Alle resources voor stroomlogboeken moeten de status Ingeschakeld hebben	Controleer of stroomlogboekbronnen zijn ingeschakeld om te controleren of de status van het stroomlogboek is ingeschakeld. Als u stroomlogboeken inschakelt, kunt u logboekinformatie over HET IP-verkeer vastleggen. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.	Controle, uitgeschakeld	1.0.1
Configuratie van stroomlogboeken voor elk virtueel netwerk controleren	Controleer of stroomlogboeken zijn geconfigureerd voor een virtueel netwerk. Als u stroomlogboeken inschakelt, kunt u informatie vastleggen over IP-verkeer dat via een virtueel netwerk stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.	Controle, uitgeschakeld	1.0.1
Stroomlogboeken moeten worden geconfigureerd voor elke netwerkbeveiligingsgroep	Controleer of stroomlogboeken zijn geconfigureerd voor netwerkbeveiligingsgroepen. Als u stroomlogboeken inschakelt, kunt u logboekgegevens vastleggen over IP-verkeer dat via de netwerkbeveiligingsgroep stroomt. Het kan worden gebruikt voor het optimaliseren van netwerkstromen, het controleren van de doorvoer, het controleren van de naleving, het detecteren van inbraakpogingen en meer.	Controle, uitgeschakeld	1.1.0

5.2

Controleren of er een waarschuwing voor een activiteitenlogboek bestaat voor het maken van beleidstoewijzing

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen	Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van beleidstoewijzing

Id: Aanbeveling 5.2.2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen	Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een netwerkbeveiligingsgroep

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van een netwerkbeveiligingsgroep

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.4: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een beveiligingsoplossing

Id: Aanbeveling 5.2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van de beveiligingsoplossing

Id: Aanbeveling 5.2.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een SQL Server-firewallregel

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van een SQL Server-firewallregel

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.8: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Waarschuwingspersoneel bij overloop van informatie	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

5

Zorg ervoor dat Azure Monitor-resourcelogboekregistratie is ingeschakeld voor alle services die deze ondersteunen

Id: Aanbeveling 5.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
App Service-apps moeten resourcelogboeken hebben ingeschakeld	Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast.	AuditIfNotExists, uitgeschakeld	2.0.1
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld	Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0
Controlegegevens controleren	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

6

Zorg ervoor dat RDP-toegang vanaf internet wordt geëvalueerd en beperkt

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 6.1: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beheerpoorten moeten gesloten zijn op uw virtuele machines	Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.	AuditIfNotExists, uitgeschakeld	3.0.0

Zorg ervoor dat SSH-toegang vanaf internet wordt geëvalueerd en beperkt

Id: Aanbeveling 6.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beheerpoorten moeten gesloten zijn op uw virtuele machines	Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen.	AuditIfNotExists, uitgeschakeld	3.0.0

Zorg ervoor dat de bewaarperiode voor stroomlogboeken voor netwerkbeveiligingsgroepen 'langer dan 90 dagen' is

Id: AANBEVELING 6.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Controleren of Network Watcher is 'ingeschakeld'

Id: Aanbeveling 6.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0
Beveiligingsfuncties controleren	CMA_C1708 - Beveiligingsfuncties controleren	Handmatig, uitgeschakeld	1.1.0

7

Controleren of virtuele machines gebruikmaken van beheerde schijven

Id: Aanbeveling 7.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Controleer virtuele machines die niet gebruikmaken van beheerde schijven	Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven	controleren	1.0.0
Fysieke toegang beheren	CMA_0081 - Fysieke toegang beheren	Handmatig, uitgeschakeld	1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren	CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren	Handmatig, uitgeschakeld	1.1.0
Labelactiviteit en -analyse controleren	CMA_0474 - Labelactiviteit en -analyse controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat besturingssysteem- en gegevensschijven zijn versleuteld met CMK (Customer Managed Key)

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 7.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat niet-gekoppelde schijven zijn versleuteld met CMK (Customer Managed Key)

Id: Aanbeveling 7.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Beheerde schijven moeten dubbel worden versleuteld met zowel door het platform beheerde als door de klant beheerde sleutels	Hoge beveiligingsgevoelige klanten die zich zorgen maken over het risico dat gepaard gaat met een bepaald versleutelingsalgoritmen, implementatie of sleutel dat wordt aangetast, kunnen kiezen voor extra versleutelingslaag met behulp van een ander versleutelingsalgoritmen/-modus op de infrastructuurlaag met behulp van door platform beheerde versleutelingssleutels. De schijfversleutelingssets zijn vereist voor het gebruik van dubbele versleuteling. Meer informatie op https://aka.ms/disks-doubleEncryption.	Controleren, Weigeren, Uitgeschakeld	1.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat alleen goedgekeurde extensies zijn geïnstalleerd

Id: Aanbeveling 7.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd	Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd.	Controleren, Weigeren, Uitgeschakeld	1.0.0

Zorg ervoor dat Endpoint Protection voor alle virtuele machines is geïnstalleerd

Id: Aanbeveling 7.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsbewerkingen	CMA_0202 - Documentbeveiligingsbewerkingen	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing	CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0
Integriteit van software, firmware en informatie controleren	CMA_0542 - Integriteit van software, firmware en informatie controleren	Handmatig, uitgeschakeld	1.1.0

[Verouderd] Zorg ervoor dat VHD's versleuteld zijn

Id: Aanbeveling 7.7 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

8

Zorg ervoor dat de vervaldatum is ingesteld voor alle sleutels in RBAC-sleutelkluizen

Id: Aanbeveling 8.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-sleutels moeten een vervaldatum hebben	Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de vervaldatum is ingesteld voor alle sleutels in niet-RBAC-sleutelkluizen.

Id: Aanbeveling 8.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-sleutels moeten een vervaldatum hebben	Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de vervaldatum is ingesteld voor alle geheimen in RBAC-sleutelkluizen

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 8.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-geheimen moeten een vervaldatum hebben	Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de vervaldatum is ingesteld voor alle geheimen in niet-RBAC-sleutelkluizen

Id: Aanbeveling 8.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-geheimen moeten een vervaldatum hebben	Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de Sleutelkluis kan worden hersteld

Id: Aanbeveling 8.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld	Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld.	Controleren, Weigeren, Uitgeschakeld	2.1.0
Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen	Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode.	Controleren, Weigeren, Uitgeschakeld	3.0.0

Op rollen gebaseerd toegangsbeheer inschakelen voor Azure Key Vault

Id: Aanbeveling 8.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Key Vault moet gebruikmaken van het RBAC-machtigingsmodel	RBAC-machtigingsmodel inschakelen in Key Vaults. Meer informatie vindt u op: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration	Controleren, Weigeren, Uitgeschakeld	1.0.1

Zorg ervoor dat privé-eindpunten worden gebruikt voor Azure Key Vault

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 8.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Key Vaults moet gebruikmaken van een privékoppeling	Met Azure Private Link kunt u uw virtuele netwerken verbinden met Azure-services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Backbone-netwerk van Azure. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink.	[parameters('audit_effect')]	1.2.1

Controleren of automatische sleutelrotatie is ingeschakeld in Azure Key Vault voor de ondersteunde services

Id: eigendom van CIS Microsoft Azure Foundations Benchmark 8.8: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Sleutels moeten een rotatiebeleid hebben om ervoor te zorgen dat hun rotatie binnen het opgegeven aantal dagen na het maken is gepland.	Beheer de nalevingsvereisten van uw organisatie door het maximum aantal dagen na het maken van de sleutel op te geven totdat deze moet worden geroteerd.	Controle, uitgeschakeld	1.0.0

9

Controleren of App Service-verificatie is ingesteld voor apps in Azure-app Service

Id: Aanbeveling 9.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten verificatie hebben ingeschakeld	Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken of die tokens hebben voordat ze de web-app bereiken.	AuditIfNotExists, uitgeschakeld	2.0.1
Verifiëren bij cryptografische module	CMA_0021 - Verifiëren bij cryptografische module	Handmatig, uitgeschakeld	1.1.0
Uniekheid van gebruikers afdwingen	CMA_0250 - Uniekheid van gebruikers afdwingen	Handmatig, uitgeschakeld	1.1.0
Voor functie-apps moet verificatie zijn ingeschakeld	Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de functie-app bereiken of die tokens hebben voordat ze de Functie-app bereiken.	AuditIfNotExists, uitgeschakeld	3.0.0
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten	CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten	Handmatig, uitgeschakeld	1.1.0

Controleren of FTP-implementaties zijn uitgeschakeld

Id: Aanbeveling 9.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Functie-apps mogen alleen FTPS vereisen	FTPS-afdwinging inschakelen voor verbeterde beveiliging.	AuditIfNotExists, uitgeschakeld	3.0.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat Azure Key Vaults worden gebruikt om geheimen op te slaan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.11: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Zorg ervoor dat cryptografische mechanismen onder configuratiebeheer vallen	CMA_C1199: ervoor zorgen dat cryptografische mechanismen onder configuratiebeheer vallen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Beschikbaarheid van informatie behouden	CMA_C1644 - Beschikbaarheid van informatie behouden	Handmatig, uitgeschakeld	1.1.0
Symmetrische cryptografische sleutels beheren	CMA_0367 - Symmetrische cryptografische sleutels beheren	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat web-app al het HTTP-verkeer omleidt naar HTTPS in Azure-app Service

Id: Aanbeveling 9.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Controleren, uitgeschakeld, weigeren	4.0.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of Web App de nieuwste versie van TLS-versleuteling gebruikt

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.3: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.1.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Functie-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of de web-app 'Clientcertificaten' (inkomende clientcertificaten) heeft ingesteld op 'Aan'

Id: Aanbeveling 9.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Afgeschaft]: App Service-apps moeten 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten.	Controle, uitgeschakeld	3.1.0 afgeschaft
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten.	Controle, uitgeschakeld	3.1.0 afgeschaft
Verifiëren bij cryptografische module	CMA_0021 - Verifiëren bij cryptografische module	Handmatig, uitgeschakeld	1.1.0

Controleren of registratie in Azure Active Directory is ingeschakeld voor de App Service

Id: AANBEVELING 9.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten beheerde identiteiten gebruiken	Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging	AuditIfNotExists, uitgeschakeld	3.0.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Functie-apps moeten beheerde identiteiten gebruiken	Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging	AuditIfNotExists, uitgeschakeld	3.0.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de PHP-versie de meest recente is, als deze wordt gebruikt om de web-app uit te voeren

Id: Aanbeveling 9.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-app-sites die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	1.0.0
App Service-apps die PHP gebruiken, moeten een opgegeven PHP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor PHP-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste PHP-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een PHP-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	3.2.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de Python-versie de meest recente stabiele versie is, als deze wordt gebruikt om de web-app uit te voeren

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.7: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-app-sites die gebruikmaken van Python moeten een opgegeven Python-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	1.0.0
App Service-apps die gebruikmaken van Python, moeten een opgegeven Python-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor Python-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Python-versie voor App Service-apps wordt aanbevolen om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Python-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	4.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de Java-versie de meest recente is als deze wordt gebruikt om de web-app uit te voeren

Id: Aanbeveling 9.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Functie-app-sites die gebruikmaken van Java, moeten een opgegeven Java-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	1.0.0
Functie-apps die java gebruiken, moeten een opgegeven Java-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor Java-software, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste Java-versie voor Function-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. Dit beleid is alleen van toepassing op Linux-apps. Voor dit beleid moet u een Java-versie opgeven die voldoet aan uw vereisten.	AuditIfNotExists, uitgeschakeld	3.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de HTTP-versie de meest recente is als deze wordt gebruikt om de web-app uit te voeren

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark aanbeveling 9.9: Gedeeld

Naam _{(Azure-portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Volgende stappen

Aanvullende artikelen over Azure Policy:

Overzicht voor naleving van regelgeving.
Bekijk de structuur van initiatiefdefinities.
Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
Lees Informatie over de effecten van het beleid.
Ontdek hoe u niet-compatibele resources kunt herstellen.

Share via