Ingebouwde Azure Policy-definities voor Azure Resource Manager
Deze pagina is een index van ingebouwde Azure Policy-beleidsdefinities voor Azure Resource Manager. Zie Ingebouwde Azure Policy-definities voor aanvullende ingebouwde modules voor Azure Policy voor andere services.
De naam van elke ingebouwde beleidsdefinitie linkt naar de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Versie om de bron te bekijken op de Azure Policy GitHub-opslagplaats.
Azure Resource Manager
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld | Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Het activiteitenlogboek moet ten minste één jaar worden bewaard | Met dit beleid wordt het activiteitenlogboek gecontroleerd als de bewaarperiode niet is ingesteld op 365 dagen of permanent (bewaarperiode ingesteld op 0). | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een tag toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. | wijzigen | 1.0.0 |
| Een tag toevoegen aan abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak. Als de tag voorkomt met een andere waarde, wordt deze niet gewijzigd. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd of vervangen wanneer een resourcegroep wordt gemaakt of bijgewerkt. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. | wijzigen | 1.0.0 |
| Een tag toevoegen aan of vervangen in abonnementen | Voegt de opgegeven tag en waarde toe aan abonnementen via een hersteltaak, of vervangt deze. Bestaande resourcegroepen kunnen worden hersteld door een hersteltaak te activeren. Raadpleeg https://aka.ms/azurepolicyremediation voor meer informatie over beleidsherstel. | wijzigen | 1.0.0 |
| Toegestane locaties voor resourcegroepen | Met dit beleid kunt u de locaties beperken waarin uw organisatie resourcegroepen kan maken. Dit beleid wordt gebruikt om uw geografische nalevingsvereisten af te dwingen. | deny | 1.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen | Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen | Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen | Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een tag met bijbehorende waarde toevoegen aan resourcegroepen | Hiermee worden de opgegeven tag en waarde toegevoegd wanneer een resourcegroep wordt gemaakt of bijgewerkt waarvoor deze tag ontbreekt. De tags van resourcegroepen die zijn gemaakt voordat dit beleid werd toegepast, worden pas gewijzigd als deze resourcegroepen zijn gewijzigd. Er zijn nieuwe effectbeleidsregels voor 'wijzigingen' beschikbaar die ondersteuning bieden voor herstel van tags op bestaande resources (zie https://aka.ms/modifydoc). | append | 1.0.0 |
| Virtuele machines controleren waarop geen herstel na noodgevallen is geconfigureerd | Controleer virtuele machines waarop herstel na noodgevallen niet is geconfigureerd. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | auditIfNotExists | 1.0.0 |
| Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement | Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor relationele opensource-databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor Resource Manager moet zijn ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL-servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën ‘schrijven’, ‘verwijderen’ en ‘actie’ | Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie' | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelen | Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| De Azure Monitor-oplossing Beveiliging en audit moet worden geïmplementeerd | Dit beleid zorgt ervoor dat Beveiliging en audit wordt geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebben | Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken. Het controleert of er een logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geblokkeerde accounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Geblokkeerde accounts met lees- en schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure-activiteitenlogboeken configureren om te streamen naar de opgegeven Log Analytics-werkruimte | Hiermee worden de diagnostische instellingen voor Azure-activiteit geïmplementeerd om auditlogboeken van abonnementen te streamen naar een Log Analytics-werkruimte om gebeurtenissen op abonnementsniveau te bewaken | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureer Azure Defender voor App Service naar ingeschakeld) | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor Microsoft Azure SQL database configureren zodat deze wordt ingeschakeld) | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender configureren voor opensource-relationele databases zodat deze wordt ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor Resource Manager configureren zodat het wordt ingeschakeld | Azure Defender voor Resource Manager bewaakt automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender detecteert bedreigingen en waarschuwt u voor verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager op https://aka.ms/defender-for-resource-manager . Als u dit Azure Defender-abonnement inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configureer Azure Defender voor servers naar ingeschakeld) | Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Defender voor SQL-servers op computers configureren zodat deze wordt ingeschakeld) | Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Basis microsoft Defender voor Opslag configureren om in te schakelen (alleen activiteitsbewaking) | Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd. Met dit beleid worden de basismogelijkheden van Defender for Storage (Activiteitenbewaking) ingeschakeld. Als u volledige beveiliging wilt inschakelen, waaronder ook scannen op malware bij uploaden en detectie van gevoelige gegevens, gebruikt u het volledige activeringsbeleid: aka.ms/DefenderForStoragePolicy. Ga naar aka.ms/DefenderForStorage voor meer informatie over de mogelijkheden en voordelen van Defender for Storage. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Herstel na noodgevallen configureren op virtuele machines door replicatie in te schakelen via Azure Site Recovery | Virtuele machines zonder configuraties voor herstel na noodgevallen zijn kwetsbaar voor storingen en andere onderbrekingen. Als de virtuele machine nog niet is geconfigureerd voor herstel na noodgevallen, zou dit hetzelfde initiëren door replicatie in te schakelen met vooraf ingestelde configuraties om bedrijfscontinuïteit te vergemakkelijken. U kunt eventueel virtuele machines met een opgegeven tag opnemen/uitsluiten om het toewijzingsbereik te bepalen. Ga naar https://aka.ms/asr-doc voor meer informatie over herstel na noodgevallen. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Log Analytics-werkruimte en automation-account configureren om logboeken en bewaking te centraliseren | Implementeer een resourcegroep met een Log Analytics-werkruimte en een gekoppeld Automation-account om logboeken en bewaking te centraliseren. Het Automation-account is aprerequisite voor oplossingen zoals Updates en Wijzigingen bijhouden. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.0 |
| Microsoft Defender CSPM-abonnement configureren | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender CSPM configureren zodat deze wordt ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender voor Azure Cosmos DB configureren zodat deze wordt ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender for Containers-abonnement configureren | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan het Defender for Containers-plan, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender configureren zodat containers worden ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP_EXCLUDE_LINUX...) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_EXCLUDE_LINUX_...), voor het inschakelen van automatische inrichting van MDE voor Linux-servers. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP_UNIFIED_SOLUTION) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_UNIFIED_SOLUTION genoemd), voor het inschakelen van automatische inrichting van MDE Unified Agent voor Windows Server 2012R2 en 2016. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel bekend als WDATP), voor Windows-downlevelmachines die via MMA zijn toegevoegd aan MDE en automatische inrichting van MDE op Windows Server 2019, Windows Virtual Desktop en hoger. Moet zijn ingeschakeld om de andere instellingen (WDATP_UNIFIED, enzovoort) te laten werken. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Key Vault-abonnement configureren | Microsoft Defender voor Key Vault biedt een extra beveiligingslaag en beveiligingsinformatie door ongebruikelijke en mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot of misbruik te maken van key vault-accounts. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Microsoft Defender voor Servers-abonnement configureren | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan Defender for Servers, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configureren dat Microsoft Defender voor Storage (klassiek) is ingeschakeld | Microsoft Defender voor Storage (klassiek) biedt detecties van ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van opslagaccounts. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Microsoft Defender for Storage configureren om in te schakelen | Microsoft Defender for Storage is een systeemeigen beveiligingslaag van Azure waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd. Met dit beleid worden alle mogelijkheden van Defender for Storage ingeschakeld; Activiteitenbewaking, malwarescans en detectie van gevoelige gegevensrisico's. Ga naar aka.ms/DefenderForStorage voor meer informatie over de mogelijkheden en voordelen van Defender for Storage. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Abonnementen configureren voor het instellen van preview-functies | Met dit beleid worden de preview-functies van een bestaand abonnement geëvalueerd. Abonnementen kunnen worden hersteld om u te registreren bij een nieuwe preview-functie. Nieuwe abonnementen worden niet automatisch geregistreerd. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.0.1 |
| Implementeren - Onderdrukkingsregels configureren voor Azure Security Center-waarschuwingen | Onderdruk Azure Security Center-waarschuwingen om te veel waarschuwingen te voorkomen door onderdrukkingsregels te implementeren in uw beheergroep of abonnement. | deployIfNotExists | 1.0.0 |
| Export implementeren naar Event Hub als een vertrouwde service voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub inschakelen als een vertrouwde service van Microsoft Defender voor Cloud gegevens. Met dit beleid wordt een export naar Event Hub geïmplementeerd als een vertrouwde serviceconfiguratie met uw voorwaarden en de Doel-Event Hub op het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Export implementeren naar Event Hub voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd in de Event Hub-configuratie met uw voorwaarden en doel-Event Hub in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.2.0 |
| Export implementeren naar Log Analytics-werkruimte voor Microsoft Defender voor Cloud gegevens | Exporteren naar Log Analytics-werkruimte van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd in de configuratie van de Log Analytics-werkruimte met uw voorwaarden en doelwerkruimte in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.1.0 |
| Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-waarschuwingen | Automatisering van Microsoft Defender voor Cloud waarschuwingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender for Cloud-aanbevelingen | Automatisering van Microsoft Defender voor Cloud aanbevelingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud naleving van regelgeving | Automatisering van Microsoft Defender voor Cloud naleving van regelgeving mogelijk maken. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Microsoft Defender voor Cloud inschakelen voor uw abonnement | Identificeert bestaande abonnementen die niet worden bewaakt door Microsoft Defender voor Cloud en beveiligt deze met de gratis functies van Defender voor Cloud. Abonnementen die al worden bewaakt, worden beschouwd als compatibel. Als u nieuw gemaakte abonnementen wilt registreren, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 1.0.1 |
| Schakel automatische inrichting van de Log Analytics-agent van Security Center voor uw abonnementen in met een aangepaste werkruimte. | Geef Security Center toestemming om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van een aangepaste werkruimte. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Schakel automatische inrichting van de Log Analytics-agent van Security Center voor uw abonnementen in met standaardwerkruimte. | Geef Security Center toestemming om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van de standaard ASC-werkruimte. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Resources voor gebruikskosten uitsluiten | Met dit beleid kunt u resources voor gebruikskosten bekijken. Gebruikskosten omvatten zaken zoals opslag met datalimiet en Azure-resources die worden gefactureerd op basis van gebruik. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente cloudbeveiligingsgrafiek om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende aanvallen op basis van API's en onjuiste beveiligingsconfiguraties. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Defender voor Azure Cosmos DB moet zijn ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een systeemeigen Azure-beveiligingslaag die pogingen detecteert om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert mogelijke SQL-injecties, bekende slechte actoren op basis van Microsoft Threat Intelligence, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Storage moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Een tag met bijbehorende waarde vereisen voor resourcegroepen | Hiermee wordt een vereiste tag met de bijbehorende waarde afgedwongen in resourcegroepen. | deny | 1.0.0 |
| Een tag vereisen voor resourcegroepen | Hiermee wordt het bestaan van een tag in resourcegroepen afgedwongen. | deny | 1.0.0 |
| Abonnementen instellen om over te stappen op een alternatieve oplossing voor evaluatie van beveiligingsproblemen | Microsoft Defender voor de cloud biedt scannen op beveiligingsproblemen voor uw computers zonder extra kosten. Als u dit beleid inschakelt, wordt Defender voor Cloud de bevindingen van de ingebouwde Oplossing voor beveiligingsproblemen van Microsoft Defender automatisch doorgegeven aan alle ondersteunde computers. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
Volgende stappen
- Bekijk de inbouwingen op de Azure Policy GitHub-opslagplaats.
- Lees over de structuur van Azure Policy-definities.
- Lees Informatie over de effecten van het beleid.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor