Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze pagina is een index van Azure Policy ingebouwde beleidsdefinities met betrekking tot Microsoft Defender voor Cloud. De volgende groeperingen van beleidsdefinities zijn beschikbaar:
- De groep initiatieven bevat de Azure Policy initiatiefdefinities in de categorie Defender voor Cloud.
- In de groep default worden alle Azure Policy definities vermeld die deel uitmaken van het standaardinitiatief van Defender voor Cloud, Microsoft cloudbeveiligingsbenchmark. Deze door Microsoft geschreven, gerespecteerde benchmark bouwt voort op controles van het Center for Internet Security (CIS) en de National Institute of Standards and Technology (NIST) met een focus op cloudgerichte beveiliging.
- De groep category bevat een lijst met alle Azure Policy definities in de categorie 'Defender voor Cloud'.
Zie Werken met beveiligingsbeleid voor meer informatie over beveiligingsbeleid. Zie Azure Policy ingebouwde definities voor andere Azure Policy ingebouwde services.
De naam van elke ingebouwde beleidsdefinitie is gekoppeld aan de beleidsdefinitie in de Azure-portal. Gebruik de koppeling in de kolom Version om de bron in de Azure Policy GitHub-opslagplaats weer te geven.
Microsoft Defender voor Cloud initiatieven
Zie de volgende tabel voor meer informatie over de ingebouwde initiatieven die worden bewaakt door Defender voor Cloud:
| Name | Description | Policies | Version |
|---|---|---|---|
| [preview]: Microsoft Defender voor Eindpunt agent implementeren | Implementeer Microsoft Defender voor Eindpunt agent op toepasselijke installatiekopieën. | 4 | 1.0.0-preview |
| [preview]: Microsoft cloudbeveiligingsbenchmark v2 | Het Microsoft cloudbeveiligingsbenchmarkinitiatief vertegenwoordigt het beleid en bepaalt de implementatie van beveiligingsaanbeveling die is gedefinieerd in Microsoft cloudbeveiligingsbenchmark. Zie https://aka.ms/azsecbm. Dit fungeert ook als het Microsoft Defender voor Cloud standaardbeleidsinitiatief. U kunt dit initiatief rechtstreeks toewijzen of de beleidsregels en nalevingsresultaten binnen Microsoft Defender voor Cloud beheren. | 414 | 1.3.0-preview |
| Configure Advanced Threat Protection zijn ingeschakeld voor opensource relationele databases | Schakel Advanced Threat Protection in voor uw niet-Basic-laag opensource relationele databases om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Zie https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Configure Azure Defender zijn ingeschakeld op SQL Servers en SQL Managed Instances | Schakel Azure Defender in op uw SQL-servers en SQL Managed Instances om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | 3 | 3.0.0 |
| Configure Microsoft Defender voor Cloud plans | Microsoft Defender voor Cloud biedt uitgebreide, cloudeigen beveiliging van ontwikkeling tot runtime in omgevingen met meerdere clouds. Gebruik het beleidsinitiatief om Defender voor Cloud plannen en extensies te configureren die moeten worden ingeschakeld voor geselecteerde bereiken. | 12 | 1.1.0 |
| Configure Microsoft Defender for Databases to be enabled | Configureer Microsoft Defender voor databases om uw Azure SQL databases, beheerde exemplaren, opensource-relationele databases en Cosmos DB te beveiligen. | 4 | 1.0.0 |
| Meerdere Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud | Configureer de integratie-instellingen voor meerdere Microsoft Defender voor Eindpunt met Microsoft Defender voor Cloud (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION enzovoort). Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | 3 | 1.0.0 |
| -VM's en SQL-servers met Arc configureren om Microsoft Defender extensie te installeren | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agents en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | 3 | 1.0.0 |
| Virtuele SQL-machines en SQL-servers met Arc configureren om Microsoft Defender te installeren voor SQL en AMA met een LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agents en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en een regel voor gegevensverzameling en Log Analytics werkruimte in dezelfde regio als de computer. | 9 | 1.3.0 |
| Virtuele SQL-machines en SQL-servers met Arc configureren om Microsoft Defender voor SQL en AMA te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agents en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics werkruimte. | 8 | 1.2.0 |
| Microsoft cloudbeveiligingsbenchmark | Het Microsoft cloudbeveiligingsbenchmarkinitiatief vertegenwoordigt het beleid en bepaalt de implementatie van beveiligingsaanbeveling die is gedefinieerd in Microsoft cloudbeveiligingsbenchmark. Zie https://aka.ms/azsecbm. Dit fungeert ook als het Microsoft Defender voor Cloud standaardbeleidsinitiatief. U kunt dit initiatief rechtstreeks toewijzen of de beleidsregels en nalevingsresultaten binnen Microsoft Defender voor Cloud beheren. | 223 | 57.56.0 |
Defender voor Cloud standaardinitiatief (Microsoft cloudbeveiligingsbenchmark)
Zie de volgende tabel voor meer informatie over de ingebouwde beleidsregels die worden bewaakt door Defender voor Cloud:
| Beleidsnaam (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [preview]: al het internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall | Azure Security Center heeft vastgesteld dat sommige subnetten niet zijn beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot deze subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie | AuditIfNotExists, uitgeschakeld | 3.0.0-preview |
| [preview]: Azure Arc kubernetes-clusters moeten Microsoft Defender voor Cloud extensie hebben geïnstalleerd | Microsoft Defender voor Cloud-extensie voor Azure Arc biedt bedreigingsbeveiliging voor uw Kubernetes-clusters met Arc. De extensie verzamelt gegevens van alle knooppunten in het cluster en verzendt deze naar de Azure Defender voor kubernetes-back-end in de cloud voor verdere analyse. Meer informatie vindt u in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [preview]: Azure Flexibele PostgreSQL-server moet Microsoft Entra alleen verificatie hebben ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra Verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure Flexibele PostgreSQL-server uitsluitend toegankelijk is voor Microsoft Entra identiteiten. | Audit, uitgeschakeld | 1.0.0-preview |
| [preview]: Azure Stack HCI-servers consistent beleid voor toepassingsbeheer moeten hebben afgedwongen | Pas minimaal het Microsoft WDAC-basisbeleid toe in de afgedwongen modus op alle Azure Stack HCI-servers. Toegepaste Windows Defender WDAC-beleid (Application Control) moet consistent zijn op alle servers in hetzelfde cluster. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [preview]: Azure Stack HCI-servers moeten voldoen aan de vereisten voor beveiligde kernen | Zorg ervoor dat alle Azure Stack HCI-servers voldoen aan de vereisten voor beveiligde kernen. De vereisten voor de Secured Core-server inschakelen: 1. Ga op de pagina Azure Stack HCI-clusters naar Windows Admin Center en selecteer Verbinding maken. 2. Ga naar de beveiligingsextensie en selecteer Secured-core. 3. Selecteer een instelling die niet is ingeschakeld en klik op Inschakelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [preview]: Azure Stack HCI-systemen moeten versleutelde volumes hebben | Gebruik BitLocker om het besturingssysteem en de gegevensvolumes op Azure Stack HCI-systemen te versleutelen. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te kunnen bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
| [preview]: de extensie gastverklaring moet worden geïnstalleerd op ondersteunde Windows virtuele machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
| [preview]: de gastverklaringsextensie moet worden geïnstalleerd op ondersteunde Windows virtuele-machineschaalsets | Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele-machineschaalsets. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
| [preview]: host- en VM-netwerken moeten worden beveiligd op Azure Stack HCI-systemen | Beveilig gegevens op het Azure Stack HCI-hostsnetwerk en op netwerkverbindingen van virtuele machines. | Audit, Uitgeschakeld, AuditIfNotExists | 1.0.0-preview |
| [Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op virtuele Linux-machines | Security Center gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [preview]: de agent voor het verzamelen van netwerkverkeersgegevens moet worden geïnstalleerd op Windows virtuele machines | Security Center gebruikt de Microsoft Dependency Agent om netwerkverkeersgegevens van uw Azure virtuele machines te verzamelen om geavanceerde netwerkbeveiligingsfuncties in te schakelen, zoals verkeersvisualisatie op de netwerkkaart, aanbevelingen voor netwerkbeveiliging en specifieke netwerkbedreigingen. | AuditIfNotExists, uitgeschakeld | 1.0.2-preview |
| [preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde Windows virtuele machines | Schakel Beveiligd opstarten in op ondersteunde Windows virtuele machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | Audit, uitgeschakeld | 4.0.0-preview |
| [Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Audit, uitgeschakeld | 2.0.0-preview |
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| A Microsoft Entra-beheerder moet worden ingericht voor MySQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw MySQL-server om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie zorgt voor vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.1.1 |
| A Microsoft Entra-beheerder moet worden ingericht voor PostgreSQL-servers | Controleer het inrichten van een Microsoft Entra-beheerder voor uw PostgreSQL-server om Microsoft Entra verificatie in te schakelen. Microsoft Entra verificatie zorgt voor vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. de standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| An Azure Active Directory-beheerder moet worden ingericht voor SQL-servers | Controleer het inrichten van een Azure Active Directory-beheerder voor uw SQL-server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd machtigingsbeheer en gecentraliseerd identiteitsbeheer mogelijk van databasegebruikers en andere Microsoft-services | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Meer informatie over de OWASP API Threat for Broken User Authentication vindt u hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen voor uw organisatie. Dit kunnen API's zijn die moeten zijn afgeschaft uit de Azure API Management-service, maar mogelijk per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API Management-API's mogen alleen versleutelde protocollen gebruiken | Om de beveiliging van gegevens in transit te waarborgen, moeten API's alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS. | Controleren, uitgeschakeld, weigeren | 2.0.2 |
| API Management-aanroepen naar API-back-ends moeten worden geverifieerd | Aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of dit via certificaten of referenties is. Is niet van toepassing op Service Fabric back-ends. | Controleren, uitgeschakeld, weigeren | 1.0.1 |
| API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan | Om de API-beveiliging te verbeteren, moet API Management het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld | De REST API voor direct beheer in Azure API Management slaat Azure Resource Manager op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen over, waardoor het beveiligingsprobleem van uw service toeneemt. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| API Management-geheim moet worden opgeslagen in Azure Key Vault | Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Als u de beveiliging van API Management en geheimen wilt verbeteren, verwijst u naar geheim benoemde waarden uit Azure Key Vault. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie. | Controleren, uitgeschakeld, weigeren | 1.0.2 |
| API Management-services moeten een virtueel netwerk gebruiken | Azure Virtual Network implementatie biedt verbeterde beveiliging, isolatie en kunt u uw API Management-service in een niet-internet routeerbaar netwerk plaatsen waartoe u de toegang kunt beheren. Deze netwerken kunnen vervolgens worden verbonden met uw on-premises netwerken met behulp van verschillende VPN-technologieën, waarmee u toegang hebt tot uw back-endservices binnen het netwerk en/of on-premises. De ontwikkelaarsportal en API-gateway kunnen worden geconfigureerd om toegankelijk te zijn via internet of alleen binnen het virtuele netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen | Als u de beveiliging van API Management-services wilt verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals api voor direct toegangsbeheer, eindpunt voor Git-configuratiebeheer of zelf-hostende gatewayconfiguratie-eindpunten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API Management-abonnementen mogen niet worden beperkt tot alle API's | API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
| Voor App Configuration moeten privékoppelingen worden gebruikt | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Als u privé-eindpunten toewijst aan uw app-configuratie in plaats van aan de volledige service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/appconfig/private-endpoint. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| App Service-apps moeten externe foutopsporing hebben uitgeschakeld | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in een App Service-app. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps moeten resourcelogboeken hebben ingeschakeld | Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Voor App Service-apps mag CORS niet zijn geconfigureerd, zodat elke resource toegang heeft tot uw apps | CorS (Cross-Origin Resource Sharing) mag niet alle domeinen toegang geven tot uw app. Sta alleen vereiste domeinen toe om te communiceren met uw app. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
| App Service-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| App Service-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.2.0 |
| Gebruik van aangepaste RBAC-rollen controleren | Ingebouwde rollen controleren, zoals Eigenaar, Bijdrager, Lezer, in plaats van aangepaste RBAC-rollen, die gevoelig zijn voor fouten. Het gebruik van aangepaste rollen wordt behandeld als een uitzondering en vereist een rigoureuze beoordeling en bedreigingsmodellering | Audit, uitgeschakeld | 1.0.1 |
| Controle op SQL Server moet zijn ingeschakeld | Controle op uw SQL Server moet zijn ingeschakeld om databaseactiviteiten in alle databases op de server bij te houden en op te slaan in een auditlogboek. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor verificatie op Linux-machines moeten SSH-sleutels zijn vereist | Hoewel SSH zelf een versleutelde verbinding biedt, blijft het gebruik van wachtwoorden met SSH de VM kwetsbaar voor beveiligingsaanvallen. De veiligste optie voor verificatie bij een Azure virtuele Linux-machine via SSH is met een openbaar-persoonlijk sleutelpaar, ook wel SSH-sleutels genoemd. Meer informatie: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, uitgeschakeld | 3.2.0 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Audit, uitgeschakeld | 2.0.1 |
| Automation-accountvariabelen moeten worden versleuteld | Het is belangrijk om de versleuteling van variabele activa in een Automation-account in te schakelen bij het opslaan van gevoelige gegevens | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten data-at-rest versleutelen met een door de klant beheerde sleutel (CMK) | Door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen, biedt meer controle over de levenscyclus van de sleutel, waaronder rotatie en beheer. Dit is met name relevant voor organisaties met gerelateerde nalevingsvereisten. Dit wordt niet standaard beoordeeld en mag alleen worden toegepast wanneer dit is vereist door nalevings- of beperkende beleidsvereisten. Als dit niet is ingeschakeld, worden de gegevens versleuteld met behulp van door het platform beheerde sleutels. Werk de parameter Effect in het beveiligingsbeleid voor het toepasselijke bereik bij om dit te implementeren. | Controleren, Weigeren, Uitgeschakeld | 2.2.0 |
| Azure AI Services-resources moeten sleuteltoegang hebben uitgeschakeld (lokale verificatie uitschakelen) | Sleuteltoegang (lokale verificatie) wordt aanbevolen om te worden uitgeschakeld voor beveiliging. Azure OpenAI Studio, die doorgaans wordt gebruikt bij het ontwikkelen/testen, vereist sleuteltoegang en werkt niet als sleuteltoegang is uitgeschakeld. Na het uitschakelen wordt Microsoft Entra ID de enige toegangsmethode, waardoor het minimale bevoegdheidsprincipe en gedetailleerde controle mogelijk blijft. Meer informatie vindt u op: https://aka.ms/AI/auth | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure AI Services-resources moeten netwerktoegang beperken | Door netwerktoegang te beperken, kunt u ervoor zorgen dat alleen toegestane netwerken toegang hebben tot de service. Dit kan worden bereikt door netwerkregels te configureren, zodat alleen toepassingen van toegestane netwerken toegang hebben tot de Azure AI-service. | Controleren, Weigeren, Uitgeschakeld | 3.3.0 |
| Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform vermindert risico's voor gegevenslekken door de connectiviteit tussen de consument en services via het Azure backbone-netwerk te verwerken. Meer informatie over privékoppelingen vindt u op: https://aka.ms/AzurePrivateLink/Overview | Audit, uitgeschakeld | 1.0.0 | |
| Azure API Management platformversie moet stv2 | Azure API Management stv1-rekenplatformversie wordt vanaf 31 augustus 2024 buiten gebruik gesteld en moeten deze exemplaren worden gemigreerd naar het stv2-rekenplatform voor continue ondersteuning. Meer informatie vindt u op https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Arc ingeschakelde Kubernetes-clusters moet de Azure Policy-extensie hebben geïnstalleerd | De Azure Policy-extensie voor Azure Arc biedt op schaal afdwinging en beveiliging op uw Kubernetes-clusters met Arc op een gecentraliseerde, consistente manier. Meer informatie op https://aka.ms/akspolicydoc. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Azure Backup moet zijn ingeschakeld voor Virtual Machines | Zorg voor beveiliging van uw Azure Virtuele Machines door Azure Backup in te schakelen. Azure Backup is een veilige en kosteneffectieve oplossing voor gegevensbeveiliging voor Azure. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Azure Cache voor Redis moet private link gebruiken | Met privé-eindpunten kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Door privé-eindpunten toe te voegen aan uw Azure Cache voor Redis instanties, worden risico's voor gegevenslekken verminderd. Zie voor meer informatie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Cosmos DB-accounts moeten firewallregels hebben | Firewallregels moeten worden gedefinieerd voor uw Azure Cosmos DB-accounts om te voorkomen dat verkeer van niet-geautoriseerde bronnen is. Accounts waarvoor ten minste één IP-regel is gedefinieerd waarvoor het filter voor virtuele netwerken is ingeschakeld, worden als compatibel beschouwd. Accounts die openbare toegang uitschakelen, worden ook beschouwd als compatibel. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Azure Cosmos DB-accounts moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling in rust van uw Azure Cosmos DB te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/cosmosdb-cmk. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 1.1.0 |
| Azure Cosmos DB moet openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat uw CosmosDB-account niet beschikbaar is op het openbare internet. Het maken van privé-eindpunten kan de blootstelling van uw CosmosDB-account beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure Databricks Clusters moeten openbare IP-adressen uitschakelen | Als u het openbare IP-adres van clusters in Azure Databricks Werkruimten uitschakelt, wordt de beveiliging verbeterd door ervoor te zorgen dat de clusters niet beschikbaar zijn op het openbare internet. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Databricks Werkruimten moeten zich in een virtueel netwerk bevinden | Azure Virtuele netwerken bieden verbeterde beveiliging en isolatie voor uw Azure Databricks werkruimten, evenals subnetten, toegangsbeheerbeleid en andere functies om de toegang verder te beperken. Zie voor meer informatie: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Azure Databricks Werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de resource niet beschikbaar is op het openbare internet. U kunt de blootstelling van uw resources beheren door in plaats daarvan privé-eindpunten te maken. Zie voor meer informatie: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Databricks Werkruimten moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerken verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te brengen aan Azure Databricks werkruimten, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/adbpe. | Audit, uitgeschakeld | 1.0.2 |
| Azure DDoS-beveiliging moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
| Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende web-app-aanvallen. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor Azure SQL Database servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beveiligingslaag en beveiligingsinformatie door ongebruikelijke en mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot of misbruik te maken van key vault accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor opensource-relationele databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases vindt u op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender moet zijn ingeschakeld voor Resource Manager | Azure Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender bedreigingen detecteert en waarschuwt u over verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager vindt u op https://aka.ms/defender-for-resource-manager. Als u dit Azure Defender plan inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL-servers op computers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL servers | SQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele PostgreSQL-servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances | Controleer elke SQL Managed Instance zonder geavanceerde gegevensbeveiliging. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Event Grid-domeinen moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw Event Grid-domein in plaats van de hele service, wordt u ook beschermd tegen risico's voor gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Audit, uitgeschakeld | 1.0.2 |
| Azure Event Grid onderwerpen moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw Event Grid-onderwerp in plaats van de hele service, bent u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/privateendpoints. | Audit, uitgeschakeld | 1.0.2 |
| Azure Key Vault moet firewall zijn ingeschakeld of openbare netwerktoegang moet zijn uitgeschakeld | Schakel de firewall van de sleutelkluis in, zodat de sleutelkluis niet standaard toegankelijk is voor openbare IP-adressen of schakel de toegang tot het openbare netwerk voor uw sleutelkluis uit, zodat deze niet toegankelijk is via het openbare internet. U kunt desgewenst specifieke IP-bereiken configureren om de toegang tot deze netwerken te beperken. Meer informatie vindt u op: https://docs.microsoft.com/azure/key-vault/general/network-security en https://aka.ms/akvprivatelink | Controleren, Weigeren, Uitgeschakeld | 3.3.0 |
| Azure Key Vault moet het RBAC-machtigingsmodel gebruiken | RBAC-machtigingsmodel inschakelen in Key Vaults. Meer informatie vindt u op: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Azure Key Vaults moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerken verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te laten aan de sleutelkluis, kunt u risico's voor gegevenslekken verminderen. Meer informatie over privékoppelingen vindt u op: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| Azure Kubernetes Service clusters moeten Defender profiel hebben ingeschakeld | Microsoft Defender voor containers biedt cloudeigen Kubernetes-beveiligingsmogelijkheden, waaronder omgevingsbeveiliging, workloadbeveiliging en runtime-beveiliging. Wanneer u SecurityProfile.AzureDefender inschakelt op uw Azure Kubernetes Service-cluster, wordt er een agent geïmplementeerd in uw cluster om gegevens van beveiligingsevenementen te verzamelen. Meer informatie over Microsoft Defender voor containers in https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Audit, uitgeschakeld | 2.0.1 |
| Azure Machine Learning rekeninstanties moeten opnieuw worden gemaakt om de meest recente software-updates op te halen | Zorg ervoor dat Azure Machine Learning rekeninstanties worden uitgevoerd op het meest recente beschikbare besturingssysteem. Beveiliging wordt verbeterd en beveiligingsproblemen worden verminderd door te worden uitgevoerd met de nieuwste beveiligingspatches. U vindt meer informatie op https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Berekeningen moeten zich in een virtueel netwerk bevinden | Azure Virtuele netwerken bieden verbeterde beveiliging en isolatie voor uw Azure Machine Learning Compute-clusters en -exemplaren, evenals subnetten, beleidsregels voor toegangsbeheer en andere functies om de toegang verder te beperken. Wanneer een berekening is geconfigureerd met een virtueel netwerk, is het niet openbaar adresseerbaar en kan deze alleen worden geopend vanuit virtuele machines en toepassingen binnen het virtuele netwerk. | Audit, uitgeschakeld | 1.0.1 |
| Azure Machine Learning Computes moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat voor Machine Learning Compute Azure Active Directory identiteiten uitsluitend voor verificatie zijn vereist. Zie voor meer informatie: https://aka.ms/azure-ml-aad-policy. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Azure Machine Learning werkruimten moeten worden versleuteld met een door de klant beheerde sleutel | Versleuteling at rest van Azure Machine Learning werkruimtegegevens beheren met door de klant beheerde sleutels. Klantgegevens worden standaard versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/azureml-workspaces-cmk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Azure Machine Learning Werkruimten moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang verbetert de beveiliging door ervoor te zorgen dat de Machine Learning Werkruimten niet beschikbaar zijn op het openbare internet. U kunt de blootstelling van uw werkruimten beheren door in plaats daarvan privé-eindpunten te maken. Meer informatie vindt u op: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Azure Machine Learning werkruimten moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te staan aan Azure Machine Learning werkruimten, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Audit, uitgeschakeld | 1.0.0 |
| Azure Flexibele MySQL-server moet Microsoft Entra Alleen verificatie zijn ingeschakeld | Door lokale verificatiemethoden uit te schakelen en alleen Microsoft Entra verificatie toe te staan, wordt de beveiliging verbeterd door ervoor te zorgen dat Azure flexibele MySQL-server uitsluitend toegankelijk is voor Microsoft Entra identiteiten. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure Policy-invoegtoepassing voor Kubernetes Service (AKS) moet zijn geïnstalleerd en ingeschakeld op uw clusters | Azure Policy invoegtoepassing voor Kubernetes Service (AKS) breidt Gatekeeper v3, een toegangscontrollerwebhook voor Open Policy Agent (OPA), uit om op schaal afdwinging en beveiliging op uw clusters op een gecentraliseerde, consistente manier toe te passen. | Audit, uitgeschakeld | 1.0.2 |
| Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure SignalR Service moet private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw Azure SignalR Service resource in plaats van de hele service, vermindert u de risico's voor het lekken van gegevens. Meer informatie over privékoppelingen vindt u op: https://aka.ms/asrs/privatelink. | Audit, uitgeschakeld | 1.0.0 |
| Azure Spring Cloud moet netwerkinjectie gebruiken | Azure Spring Cloud-exemplaren moeten virtuele netwerkinjectie gebruiken voor de volgende doeleinden: 1. Isoleer Azure Spring Cloud van internet. 2. Schakel Azure Spring Cloud in om te communiceren met systemen in on-premises datacenters of Azure service in andere virtuele netwerken. 3. Klanten in staat stellen binnenkomende en uitgaande netwerkcommunicatie te beheren voor Azure Spring Cloud. | Controleren, uitgeschakeld, weigeren | 1.2.0 |
| Azure SQL Database moet TLS-versie 1.2 of hoger worden uitgevoerd | Door TLS-versie in te stellen op 1.2 of hoger, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanaf clients die TLS 1.2 of hoger gebruiken. Het is raadzaam geen lagere TLS-versies dan 1.2 te gebruiken, omdat deze goed gedocumenteerde beveiligingsproblemen hebben. | Controleren, uitgeschakeld, weigeren | 2.0.0 |
| Azure SQL Database moet alleen-Microsoft Entra-verificatie zijn ingeschakeld | Vereisen dat Azure SQL logische servers gebruikmaken van alleen-Microsoft Entra-verificatie. Dit beleid blokkeert niet dat servers worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure SQL logische servers moeten Microsoft Entra-only verificatie hebben ingeschakeld tijdens het maken | Vereisen dat Azure SQL logische servers worden gemaakt met Microsoft Entra-only verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.3.0 |
| Azure SQL Managed Instance moet alleen-Microsoft Entra-verificatie zijn ingeschakeld | Vereisen Azure SQL Managed Instance om alleen-Microsoft Entra-verificatie te gebruiken. Met dit beleid wordt niet geblokkeerd Azure SQL beheerde exemplaren worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure SQL Beheerde exemplaren moeten openbare netwerktoegang uitschakelen | Het uitschakelen van openbare netwerktoegang (openbaar eindpunt) op Azure SQL Managed Instances verbetert de beveiliging door ervoor te zorgen dat ze alleen toegankelijk zijn vanuit hun virtuele netwerken of via privé-eindpunten. Ga naar https://aka.ms/mi-public-endpointvoor meer informatie over openbare netwerktoegang. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Azure SQL Beheerde exemplaren moeten Microsoft Entra-only verificatie hebben ingeschakeld tijdens het maken | Vereisen dat Azure SQL Managed Instance worden gemaakt met Microsoft Entra-only-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/adonlycreate. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Azure Web Application Firewall moet zijn ingeschakeld voor Azure Front Door invoerpunten | Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals SQL-injecties, cross-site scripting, lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Blocked accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Blocked accounts met lees- en schrijfmachtigingen voor Azure resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Certificaten moeten de opgegeven maximale geldigheidsperiode hebben | Beheer de nalevingsvereisten van uw organisatie door de maximale tijdsduur op te geven waarbij een certificaat binnen uw sleutel kluis geldig mag zijn. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 2.2.1 |
| Containerregisters moeten worden versleuteld met een door de klant beheerde sleutel | Gebruik door de klant beheerde sleutels voor het beheren van de versleuteling van de rest van de inhoud van uw registers. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. Meer informatie op https://aka.ms/acr/CMK. | Controleren, Weigeren, Uitgeschakeld | 1.1.2 |
| Containerregisters mogen geen onbeperkte netwerktoegang toestaan | Azure containerregisters accepteren standaard verbindingen via internet vanaf hosts op elk netwerk. Als u uw registers wilt beschermen tegen mogelijke bedreigingen, staat u alleen toegang toe vanaf specifieke privé-eindpunten, openbare IP-adressen of adresbereiken. Als uw register geen netwerkregels heeft geconfigureerd, wordt dit weergegeven in de beschadigde resources. Meer informatie over Container Registry-netwerkregels vindt u hier: https://aka.ms/acr/privatelinkenhttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Containerregisters moeten een privékoppeling gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link-platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw containerregisters in plaats van de hele service, wordt u ook beschermd tegen gegevenslekken. Zie voor meer informatie: https://aka.ms/acr/private-link. | Audit, uitgeschakeld | 1.0.1 |
| Cosmos DB-databaseaccounts moeten lokale verificatiemethoden hebben uitgeschakeld | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat Cosmos DB-databaseaccounts uitsluitend Azure Active Directory identiteiten vereisen voor verificatie. Zie voor meer informatie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| CosmosDB-accounts moeten private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw CosmosDB-account, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Audit, uitgeschakeld | 1.0.0 |
| Diagnostische logboeken in Azure AI-services resources moeten zijn ingeschakeld | Schakel logboeken in voor Azure AI-services resources. Hiermee kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden, wanneer er een beveiligingsincident optreedt of uw netwerk wordt aangetast | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers | Azure Database for MySQL ondersteunt het verbinden van uw Azure Database for MySQL-server met clienttoepassingen met behulp van SSL (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Audit, uitgeschakeld | 1.0.1 |
| SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers | Azure Database for PostgreSQL ondersteunt het verbinden van uw Azure Database for PostgreSQL-server met clienttoepassingen met behulp van SSL (Secure Sockets Layer). Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. | Audit, uitgeschakeld | 1.0.1 |
| Voor functie-apps moeten clientcertificaten (binnenkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. | AuditIfNotExists, uitgeschakeld | 1.1.0 |
| Functie-apps moeten externe foutopsporing uitschakelen | Voor externe foutopsporing moeten binnenkomende poorten worden geopend in Functie-apps. Externe foutopsporing moet worden uitgeschakeld. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Voor functie-apps mag CORS niet zijn geconfigureerd om elke resource toegang te geven tot uw apps | Gebruik van Cross-Origin Resource Sharing (CORS) mag er niet toe leiden dat alle domeinen toegang hebben tot uw Function-app. Sta alleen de vereiste domeinen toe om met uw Function-app te communiceren. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Functie-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 5.1.0 |
| Functie-apps mogen alleen FTPS vereisen | FTPS-afdwinging inschakelen voor verbeterde beveiliging. | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Functie-apps moeten beheerde identiteiten gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Functie-apps moeten de nieuwste TLS-versie gebruiken | Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. | AuditIfNotExists, uitgeschakeld | 2.3.0 |
| Geo-redundante back-up moet zijn ingeschakeld voor Azure Database for MariaDB | Azure Database for MariaDB kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Audit, uitgeschakeld | 1.0.1 |
| Geo-redundante back-up moet zijn ingeschakeld voor Azure Database for MySQL | Azure Database for MySQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Audit, uitgeschakeld | 1.0.1 |
| Geo-redundante back-up moet zijn ingeschakeld voor Azure Database for PostgreSQL | Azure Database for PostgreSQL kunt u de redundantieoptie voor uw databaseserver kiezen. Deze kan worden ingesteld op een geografisch redundante back-upopslag waarin de gegevens niet alleen worden opgeslagen in de regio waar uw server wordt gehost, maar ook worden gerepliceerd naar een koppelde regio om een hersteloptie te bieden ingeval van storing in uw regio. Het configureren van geografisch redundante opslag voor back-up is alleen toegestaan tijdens het maken van een server. | Audit, uitgeschakeld | 1.0.1 |
| Accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Na de installatie zijn in-guest-beleidsregels beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Key Vault sleutels moeten een vervaldatum hebben | Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Key Vault geheimen moeten een vervaldatum hebben | Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. | Controleren, Weigeren, Uitgeschakeld | 1.0.2 |
| Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld | Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Niemand binnen uw organisatie of Microsoft kunt uw sleutelkluizen leegmaken tijdens de bewaarperiode voor voorlopig verwijderen. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. | Controleren, Weigeren, Uitgeschakeld | 2.1.0 |
| Voorlopig verwijderen moet zijn ingeschakeld voor sleutelkluizen | Als u een sleutelkluis verwijdert zonder dat de functie voor voorlopig verwijderen is ingeschakeld, worden alle geheimen, sleutels en certificaten die zijn opgeslagen in de sleutelkluis permanent verwijderd. Onbedoeld verwijderen van een sleutelkluis kan leiden tot permanent gegevensverlies. Met voorlopig verwijderen kunt u een per ongeluk verwijderde sleutelkluis herstellen voor een configureerbare bewaarperiode. | Controleren, Weigeren, Uitgeschakeld | 3.1.0 |
| Cpu- en geheugenresourcelimieten voor Kubernetes-clustercontainers mogen niet groter zijn dan de opgegeven limieten | Dwing limieten voor cpu- en geheugenresources van containers af om uitputtingsaanvallen van resources in een Kubernetes-cluster te voorkomen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Kubernetes-clustercontainers mogen geen hostnaamruimten delen | Voorkomen dat podcontainers de hostproces-id-naamruimte, host-IPC-naamruimte en hostnetwerknaamruimte delen in een Kubernetes-cluster. Deze aanbeveling is afgestemd op de Kubernetes Pod-beveiligingsstandaarden voor hostnaamruimten en maakt deel uit van CIS 5.2.1, 5.2.2 en 5.2.3 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 6.0.0 |
| Kubernetes cluster containers should only use allowed AppArmor profiles (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane AppArmor-profielen) | Containers mogen alleen toegestane AppArmor-profielen gebruiken in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.1 |
| Kubernetes cluster containers should only use allowed capabilities (Kubernetes-clustercontainers mogen alleen gebruik maken van toegestane mogelijkheden) | Beperk de mogelijkheden om de kwetsbaarheid voor aanvallen van containers in een Kubernetes-cluster te verminderen. Deze aanbeveling maakt deel uit van CIS 5.2.8 en CIS 5.2.9 die zijn bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes-clustercontainers mogen alleen toegestane installatiekopieën gebruiken | Gebruik installatiekopieën van vertrouwde registers om het blootstellingsrisico van het Kubernetes-cluster te beperken tot onbekende beveiligingsproblemen, beveiligingsproblemen en schadelijke installatiekopieën. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.3.0 |
| Kubernetes cluster containers should run with a read only root file system (Kubernetes-clustercontainers moeten worden uitgevoerd met een alleen-lezenhoofdbestandssysteem) | Voer containers uit met een alleen-lezen hoofdbestandssysteem om te beveiligen tegen wijzigingen tijdens de runtime, waarbij schadelijke binaire bestanden worden toegevoegd aan PATH in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
| Kubernetes cluster pod hostPath volumes should only use allowed host paths (hostPath-volumes van pods in een Kubernetes-cluster mogen alleen toegestane hostpaden gebruiken) | Beperk pod HostPath-volumekoppelingen naar de toegestane hostpaden in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.3.0 |
| Kubernetes cluster pods and containers should only run with approved user and group IDs (Kubernetes-clusterpods en -containers mogen alleen worden uitgevoerd met toegestane gebruikers- en groeps-id's) | Beheer de gebruikers-, primaire groep-, aanvullende groep- en bestandssysteemgroep-id's die pods en containers kunnen gebruiken om te worden uitgevoerd in een Kubernetes-cluster. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 6.2.0 |
| Kubernetes-clusterpods mogen alleen goedgekeurde hostnetwerk- en poortlijst gebruiken | Beperk podtoegang tot het hostnetwerk en de toegestane hostpoorten in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.4 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren en in overeenstemming te zijn met PSS (Pod Security Standards) voor hostPorts. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 7.0.0 |
| Kubernetes-clusterservices mogen alleen luisteren op toegestane poorten | Beperk services om alleen te luisteren op toegestane poorten om de toegang tot het Kubernetes-cluster te beveiligen. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 8.2.0 |
| Kubernetes-cluster mag geen bevoegde containers toestaan | Sta het maken van bevoegde containers in een Kubernetes-cluster niet toe. Deze aanbeveling maakt deel uit van CIS 5.2.1 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 9.2.0 |
| Kubernetes-clusters mogen alleen toegankelijk zijn via HTTPS | Het gebruik van HTTPS zorgt voor verificatie en beschermt gegevens tijdens overdracht tegen aanvallen op netwerklagen. Deze mogelijkheid is momenteel algemeen beschikbaar voor Kubernetes Service (AKS) en in preview voor Azure Arc ingeschakelde Kubernetes. Ga voor meer informatie naar https://aka.ms/kubepolicydoc | Controleren, Weigeren, Uitgeschakeld | 9.0.0 |
| Kubernetes-clusters moeten het automatisch koppelen van API-referenties uitschakelen | Schakel het automatisch koppelen van API-referenties uit om te voorkomen dat een mogelijk gemanipuleerde Pod-resource API-opdrachten uitvoert met Kubernetes-clusters. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Kubernetes clusters should not allow container privilege escalation (Kubernetes-clusters mogen geen escalatie van bevoegdheden voor containers toestaan) | Sta niet toe dat containers worden uitgevoerd met escalatie van bevoegdheden naar de hoofdmap in een Kubernetes-cluster. Deze aanbeveling maakt deel uit van CIS 5.2.5 die is bedoeld om de beveiliging van uw Kubernetes-omgevingen te verbeteren. Dit beleid is algemeen beschikbaar voor Kubernetes Service (AKS) en preview voor Azure Arc ingeschakelde Kubernetes. Zie https://aka.ms/kubepolicydoc voor meer informatie. | Controleren, Weigeren, Uitgeschakeld | 8.0.0 |
| Kubernetes-clusters mogen geen CAP_SYS_ADMIN beveiligingsmogelijkheden verlenen | Beperk CAP_SYS_ADMIN Linux-mogelijkheden om de kwetsbaarheid voor aanvallen van uw containers te verminderen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 5.1.0 |
| Kubernetes-clusters mogen de standaard naamruimte niet gebruiken | Maak geen gebruik van de standaard naamruimte in Kubernetes-clusters om te beveiligen tegen onbevoegde toegang voor ConfigMap-, Pod-, Secret-, Service- en ServiceAccount-resourcetypen. Zie https://aka.ms/kubepolicydoc voor meer informatie. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 4.2.0 |
| Linux-machines moeten voldoen aan de vereisten voor de Azure rekenbeveiligingsbasislijn | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.3.1 |
| Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.2.1 | |
| Machines moeten worden geconfigureerd om periodiek te controleren op ontbrekende systeemupdates | Om ervoor te zorgen dat periodieke evaluaties voor ontbrekende systeemupdates elke 24 uur automatisch worden geactiveerd, moet de eigenschap AssessmentMode worden ingesteld op 'AutomaticByPlatform'. Meer informatie over de eigenschap AssessmentMode voor Windows: https://aka.ms/computevm-windowspatchassessmentmode, voor Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Controleren, Weigeren, Uitgeschakeld | 3.9.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke JIT-toegang (Network Just In Time) wordt als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft-Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente grafiek voor cloudbeveiliging om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende op API gebaseerde aanvallen en beveiligingsfouten. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender voor containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en Multi-Cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender in voor SQL om uw Synapse-werkruimten te beveiligen. Defender voor SQL controleert uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Opslag moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. De nieuwe Defender voor opslagabonnement omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| MySQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve MySQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Network Watcher moet zijn ingeschakeld | Network Watcher is een regionale service waarmee u voorwaarden kunt bewaken en diagnosticeren op netwerkscenarioniveau in, van en naar Azure. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Only-beveiligde verbindingen met uw Azure Cache voor Redis moeten zijn ingeschakeld | Controleer het inschakelen van alleen verbindingen via SSL naar Azure Cache voor Redis. Het gebruik van beveiligde verbindingen zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| PostgreSQL-servers moeten door de klant beheerde sleutels gebruiken om data-at-rest te versleutelen | Gebruik door de klant beheerde sleutels om de versleuteling van uw inactieve PostgreSQL-servers te beheren. Standaard worden de gegevens in rust versleuteld met door de service beheerde sleutels, maar door de klant beheerde sleutels zijn doorgaans vereist om te voldoen aan nalevingsstandaarden voor regelgeving. Met door de klant beheerde sleutels kunnen de gegevens worden versleuteld met een Azure Key Vault sleutel die door u is gemaakt en waarvan u eigenaar bent. U hebt de volledige controle en verantwoordelijkheid voor de levenscyclus van de sleutel, met inbegrip van rotatie en beheer. | AuditIfNotExists, uitgeschakeld | 1.0.4 |
| Private-eindpuntverbindingen op Azure SQL Database moeten zijn ingeschakeld | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit in te schakelen voor Azure SQL Database. | Audit, uitgeschakeld | 1.1.0 |
| Het privé-eindpunt moet worden ingeschakeld voor MariaDB-servers | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit in te schakelen voor Azure Database for MariaDB. Configureer een privé-eindpuntverbinding om toegang tot verkeer dat alleen afkomstig is van bekende netwerken in te schakelen en toegang te voorkomen vanaf alle andere IP-adressen, inclusief binnen Azure. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Het privé-eindpunt moet worden ingeschakeld voor MySQL-servers | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit in te schakelen voor Azure Database for MySQL. Configureer een privé-eindpuntverbinding om toegang tot verkeer dat alleen afkomstig is van bekende netwerken in te schakelen en toegang te voorkomen vanaf alle andere IP-adressen, inclusief binnen Azure. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Het privé-eindpunt moet worden ingeschakeld voor PostgreSQL-servers | Privé-eindpuntverbindingen dwingen beveiligde communicatie af door privéconnectiviteit met Azure Database for PostgreSQL in te schakelen. Configureer een privé-eindpuntverbinding om toegang tot verkeer dat alleen afkomstig is van bekende netwerken in te schakelen en toegang te voorkomen vanaf alle andere IP-adressen, inclusief binnen Azure. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Public network access on Azure SQL Database should be disabled | Als u de eigenschap voor openbare netwerktoegang uitschakelt, wordt de beveiliging verbeterd door ervoor te zorgen dat uw Azure SQL Database alleen toegankelijk is vanuit een privé-eindpunt. Deze configuratie weigert alle aanmeldingen die overeenkomen met de firewallregels op basis van IP of virtueel netwerk. | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor MariaDB-servers | Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for MariaDB alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie schakelt de toegang strikt uit vanuit elke openbare adresruimte buiten Azure IP-bereik en weigert alle aanmeldingen die overeenkomen met ip- of virtuele netwerkfirewallregels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor MySQL-servers | Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for MySQL alleen toegankelijk is vanaf een privé-eindpunt. Deze configuratie schakelt de toegang strikt uit vanuit elke openbare adresruimte buiten Azure IP-bereik en weigert alle aanmeldingen die overeenkomen met ip- of virtuele netwerkfirewallregels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Openbare netwerktoegang moet worden uitgeschakeld voor PostgreSQL-servers | Schakel de eigenschap openbare netwerktoegang uit om de beveiliging te verbeteren en zorg ervoor dat uw Azure Database for PostgreSQL alleen toegankelijk is vanaf een privé-eindpunt. Met deze configuratie wordt de toegang uitgeschakeld vanuit een openbare adresruimte buiten Azure IP-bereik en worden alle aanmeldingen geweigerd die overeenkomen met ip- of virtuele netwerkfirewallregels. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| Resource-logboeken in Azure Data Lake Store moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resource-logboeken in Azure Databricks Werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Resource-logboeken in Azure Kubernetes Service moeten zijn ingeschakeld | Azure Kubernetes Service resourcelogboeken kunnen helpen bij het opnieuw maken van activiteitentrails bij het onderzoeken van beveiligingsincidenten. Schakel deze in om ervoor te zorgen dat de logboeken bestaan wanneer dat nodig is | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Resource-logboeken in Azure Machine Learning Werkruimten moeten zijn ingeschakeld | Met resourcelogboeken kunnen activiteitentrails opnieuw worden gemaakt voor onderzoeksdoeleinden wanneer er een beveiligingsincident optreedt of wanneer uw netwerk wordt aangetast. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Resource-logboeken in Azure Stream Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resource-logboeken in Data Lake Analytics moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Event Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resource-logboeken in IoT Hub moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 3.1.0 |
| Resource-logboeken in Key Vault moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resourcelogboeken in Logic Apps moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.1.0 |
| Resourcelogboeken in Search-service s moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Resource-logboeken in Service Bus moeten zijn ingeschakeld | Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast | AuditIfNotExists, uitgeschakeld | 5.0.0 |
| Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Role-Based Access Control (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Audit, uitgeschakeld | 1.1.0 |
| Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld | Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Service Fabric-clusters moeten de eigenschap ClusterProtectionLevel hebben ingesteld op EncryptAndSign | Service-Fabric biedt drie beveiligingsniveaus (None, Sign en EncryptAndSign) voor communicatie tussen knooppunten met behulp van een primair clustercertificaat. Stel het beveiligingsniveau in om te zorgen dat alle berichten van en naar knooppunten worden versleuteld en digitaal worden ondertekend | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| Service Fabric-clusters mogen alleen Azure Active Directory gebruiken voor clientverificatie | Controleer het gebruik van clientverificatie alleen via Azure Active Directory in Service Fabric | Controleren, Weigeren, Uitgeschakeld | 1.1.0 |
| SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Het implementeren van Transparent Data Encryption (TDE) met uw eigen sleutel biedt u meer transparantie en controle over de TDE-protector, verbeterde beveiliging met een externe service met HSM-ondersteuning en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de sql-gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest | Het implementeren van Transparent Data Encryption (TDE) met uw eigen sleutel biedt meer transparantie en controle over de TDE-protector, verbeterde beveiliging met een externe service met HSM-ondersteuning en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. | Controleren, Weigeren, Uitgeschakeld | 2.0.1 |
| SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger | Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie in te stellen voor de controle van uw SQL Server op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Openbare toegang tot een opslagaccount moet niet worden toegestaan | Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan beveiligingsrisico's opleveren. Als u gegevensschendingen wilt voorkomen die worden veroorzaakt door ongewenste anonieme toegang, raadt Microsoft aan om openbare toegang tot een opslagaccount te voorkomen, tenzij dit in uw scenario is vereist. | controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld | 3.1.1 |
| Opslagaccounts moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw opslagaccounts om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen | Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Opslagaccounts moeten toegang tot gedeelde sleutels voorkomen (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Controlevereiste van Azure Active Directory (Azure AD) om aanvragen voor uw opslagaccount te autoriseren. Aanvragen kunnen standaard worden geautoriseerd met Azure Active Directory referenties of met behulp van de accounttoegangssleutel voor autorisatie van gedeelde sleutels. Van deze twee typen autorisatie biedt Azure AD superieure beveiliging en gebruiksgemak ten opzichte van gedeelde sleutels en wordt aanbevolen door Microsoft. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Netwerktoegang tot opslagaccounts moet zijn beperkt | Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke Azure virtuele netwerken of tot ip-adresbereiken voor openbaar internet | Controleren, Weigeren, Uitgeschakeld | 1.1.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.1 |
| Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling | Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. | Audit, uitgeschakeld | 1.0.3 |
| Opslagaccounts moeten gebruikmaken van private link | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Opslagaccounts moeten gebruikmaken van private link (met uitzondering van opslagaccounts die zijn gemaakt door Databricks) | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw opslagaccount, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen op - https://aka.ms/azureprivatelinkoverview | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Synapse-werkruimten moeten alleen-Microsoft Entra-verificatie zijn ingeschakeld | Synapse-werkruimten vereisen voor het gebruik van Microsoft Entra-only-verificatie. Dit beleid blokkeert niet dat werkruimten worden gemaakt met lokale verificatie ingeschakeld. Het blokkeert dat lokale verificatie wordt ingeschakeld voor resources na het maken. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Synapse-werkruimten mogen alleen Microsoft Entra identiteiten gebruiken voor verificatie tijdens het maken van de werkruimte | Vereisen dat Synapse-werkruimten worden gemaakt met Microsoft Entra-only-verificatie. Dit beleid blokkeert niet dat lokale verificatie na het maken opnieuw wordt ingeschakeld voor resources. Overweeg in plaats daarvan het initiatief 'alleen-Microsoft Entra-verificatie' te gebruiken om beide te vereisen. Zie voor meer informatie: https://aka.ms/Synapse. | Controleren, Weigeren, Uitgeschakeld | 1.2.0 |
| Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Transparent Data Encryption voor SQL-databases moet zijn ingeschakeld | Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Voor virtuele machines en virtuele-machineschaalsets moet versleuteling zijn ingeschakeld op de host | Gebruik versleuteling op de host om end-to-end-versleuteling op te halen voor uw virtuele machine en gegevens van de virtuele-machineschaalset. Versleuteling op host maakt versleuteling in rust mogelijk voor uw tijdelijke schijf- en besturingssysteem-/gegevensschijfcaches. Tijdelijke en tijdelijke besturingssysteemschijven worden versleuteld met door het platform beheerde sleutels wanneer versleuteling op de host is ingeschakeld. Caches van besturingssysteem/gegevensschijven worden in rust versleuteld met een door de klant beheerde of platformbeheerde sleutel, afhankelijk van het versleutelingstype dat op de schijf is geselecteerd. Meer informatie op https://aka.ms/vm-hbe. | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Virtual-machines moeten worden gemigreerd naar nieuwe Azure Resource Manager resources | Gebruik nieuwe Azure Resource Manager voor uw virtuele machines om beveiligingsverbeteringen te bieden, zoals: sterker toegangsbeheer (RBAC), betere controle, Azure Resource Manager gebaseerde implementatie en governance, toegang tot beheerde identiteiten, toegang tot sleutelkluis voor geheimen, Azure Verificatie en ondersteuning op basis van AD voor tags en resourcegroepen voor eenvoudiger beveiligingsbeheer | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Azure virtuele machines binnen het bereik van dit beleid niet compatibel zijn wanneer de extensie Gastconfiguratie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| VM Image Builder-sjablonen moeten een private link gebruiken | Azure Private Link kunt u uw virtuele netwerk verbinden met Azure services zonder een openbaar IP-adres bij de bron of bestemming. Het Private Link platform verwerkt de connectiviteit tussen de consument en services via het Azure backbone-netwerk. Door privé-eindpunten toe te voegen aan uw VM Image Builder-bouwresources, worden risico's voor gegevenslekken verminderd. Meer informatie over privékoppelingen vindt u op: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Controleren, uitgeschakeld, weigeren | 1.1.0 |
| VPN-gateways mogen alleen Azure Active Directory (Azure AD)-verificatie gebruiken voor punt-naar-site-gebruikers | Het uitschakelen van lokale verificatiemethoden verbetert de beveiliging door ervoor te zorgen dat VPN Gateways alleen Azure Active Directory identiteiten gebruiken voor verificatie. Meer informatie over Azure AD-verificatie vindt u op https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Controleren, Weigeren, Uitgeschakeld | 1.0.0 |
| Vulnerability-evaluatie moet zijn ingeschakeld op SQL Managed Instance | Controleer elke SQL Managed Instance waarvoor geen terugkerende scans voor de evaluatie van beveiligingsproblemen zijn ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers | Controleer Azure SQL servers waarop de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway | Implementeer Azure Web Application Firewall (WAF) vóór openbare webtoepassingen voor aanvullende inspectie van binnenkomend verkeer. Web Application Firewall (WAF) biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen, zoals SQL-injecties, cross-site scripting, lokale en externe bestandsuitvoeringen. U kunt de toegang tot uw webtoepassingen ook beperken op basis van landen, IP-adresbereiken en andere http(s)-para meters via aangepaste regels. | Controleren, Weigeren, Uitgeschakeld | 2.0.0 |
| Windows Defender Exploit Guard moet zijn ingeschakeld op uw computers | Windows Defender Exploit Guard maakt gebruik van de Azure Policy-agent voor gastconfiguratie. Exploit Guard heeft vier onderdelen die zijn ontworpen om apparaten te vergrendelen tegen een groot aantal aanvalsvectoren en gedrag blokkeren dat vaak wordt gebruikt bij malwareaanvallen, terwijl ondernemingen hun beveiligingsrisico's en productiviteitsvereisten (alleen Windows) kunnen verdelen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Windows machines moeten worden geconfigureerd voor het gebruik van beveiligde communicatieprotocollen | Ter bescherming van de privacy van informatie die via internet wordt gecommuniceerd, moeten uw computers de nieuwste versie van het cryptografische protocol van de industriestandaard, Transport Layer Security (TLS) gebruiken. TLS beveiligt de communicatie via een netwerk door een verbinding tussen machines te versleutelen. | AuditIfNotExists, uitgeschakeld | 4.1.1 |
| Windows machines moeten voldoen aan de vereisten van de Azure basislijn voor rekenbeveiliging | Hiertoe moeten vereiste onderdelen worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. Machines zijn niet-compatibel als de machine niet correct is geconfigureerd voor een van de aanbevelingen in de Azure rekenbeveiligingsbasislijn. | AuditIfNotExists, uitgeschakeld | 2.1.1 |
| Hoewel het besturingssysteem en de gegevensschijven van een virtuele machine standaard versleuteld-at-rest zijn met behulp van door platform beheerde sleutels; resourceschijven (tijdelijke schijven), gegevenscaches en gegevensstromen tussen reken- en opslagresources worden niet versleuteld. Gebruik Azure Disk Encryption of EncryptionAtHost om te herstellen. Bezoek https://aka.ms/diskencryptioncomparison om versleutelingsaanbiedingen te vergelijken. Voor dit beleid moeten twee vereisten worden geïmplementeerd in het bereik van de beleidstoewijzing. Zie https://aka.ms/gcpol voor meer informatie. | AuditIfNotExists, uitgeschakeld | 1.1.1 |
Microsoft Defender voor Cloud categorie
| Name (Azure portal) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Linux Arc-computer | Installeer de ChangeTracking-extensie op Linux Arc-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw virtuele Linux-machine | Installeer de ChangeTracking-extensie op virtuele Linux-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows Arc-machine | Installeer de ChangeTracking-extensie op Windows Arc-machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: De ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows virtuele machine | Installeer de ChangeTracking-extensie op Windows virtuele machines om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: Azure Defender configureren voor SQL-agent op virtuele machine | Configureer Windows machines om de Azure Defender automatisch te installeren voor sql-agent waarop de Azure Monitor Agent is geïnstalleerd. Security Center verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Hiermee maakt u een resourcegroep en Log Analytics werkruimte in dezelfde regio als de computer. Doel-VM's moeten zich op een ondersteunde locatie bevinden. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Ondersteunde virtuele-machineschaalsets voor Linux configureren om automatisch de extensie gastverklaring te installeren | Configureer ondersteunde virtuele Linux-machinesschaalsets om de gastverklaringextensie automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 6.1.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde virtuele Linux-machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 5.0.0-preview |
| [Preview]: Ondersteunde virtuele Linux-machines configureren om de gastattestextensie automatisch te installeren | Configureer ondersteunde virtuele Linux-machines voor het automatisch installeren van de Gast Attestation-extensie, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 7.1.0-preview |
| [Preview]: Ondersteunde virtuele machines configureren om vTPM automatisch in te schakelen | Configureer ondersteunde virtuele machines om vTPM automatisch in te schakelen voor het vergemakkelijken van gemeten opstarten en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: configureer ondersteunde Windows virtuele-machineschaalsets om de gastattestextensie automatisch te installeren | Configureer ondersteunde Windows virtuele-machineschaalsets om automatisch de extensie Voor gastattest te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 4.1.0-preview |
| [preview]: configureer ondersteunde Windows virtuele machines om Beveiligd opstarten automatisch in te schakelen | Configureer ondersteunde Windows virtuele machines om Beveiligd opstarten automatisch in te schakelen om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. | DeployIfNotExists, uitgeschakeld | 3.0.0-preview |
| [preview]: configureer ondersteunde Windows virtuele machines om de extensie gastverklaring automatisch te installeren | Configureer ondersteunde Windows virtuele machines om de extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 5.1.0-preview |
| [preview]: vm's configureren die zijn gemaakt met Shared Image Gallery installatiekopieën om de extensie Guest Attestation te installeren | Configureer virtuele machines die zijn gemaakt met Shared Image Gallery-installatiekopieën om de Extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.0.0-preview |
| [preview]: CONFIGUREER VMSS die zijn gemaakt met Shared Image Gallery-installatiekopieën om de gastverklaringsextensie te installeren | Configureer VMSS die zijn gemaakt met Shared Image Gallery-installatiekopieën om de extensie gastverklaring automatisch te installeren, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Opstartintegriteit wordt getest via Remote Attestation. | DeployIfNotExists, uitgeschakeld | 2.1.0-preview |
| [preview]: implementeer Microsoft Defender voor Eindpunt agent op hybride Linux-machines | Implementeert Microsoft Defender voor Eindpunt-agent op hybride Linux-machines | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [preview]: implementeer Microsoft Defender voor Eindpunt agent op virtuele Linux-machines | Implementeert Microsoft Defender voor Eindpunt agent op toepasselijke Linux-VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 3.0.0-preview |
| [preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows Azure Arc machines | Implementeert Microsoft Defender voor Eindpunt op Windows Azure Arc machines. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [preview]: Microsoft Defender voor Eindpunt-agent implementeren op Windows virtuele machines | Implementeert Microsoft Defender voor Eindpunt op toepasselijke Windows VM-installatiekopieën. | DeployIfNotExists, AuditIfNotExists, Uitgeschakeld | 2.0.1-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines | Installeer de gastattestextensie op ondersteunde virtuele Linux-machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele Machines met vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 6.0.0-preview |
| [Preview]: De gastverklaringsextensie moet worden geïnstalleerd op ondersteunde virtuele Linux-machines-schaalsets | Installeer de gastattestextensie op ondersteunde virtuele Linux-machinesschaalsets om Azure Security Center proactief te kunnen bevestigen en de opstartintegriteit te bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op virtuele-machineschaalsets vertrouwde start en vertrouwelijke Linux-machines. | AuditIfNotExists, uitgeschakeld | 5.1.0-preview |
| [preview]: de extensie gastverklaring moet worden geïnstalleerd op ondersteunde Windows virtuele machines | Installeer de extensie Guest Attestation op ondersteunde virtuele machines zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | AuditIfNotExists, uitgeschakeld | 4.0.0-preview |
| [preview]: de gastverklaringsextensie moet worden geïnstalleerd op ondersteunde Windows virtuele-machineschaalsets | Installeer de gastattestextensie op ondersteunde virtuele-machineschaalsets, zodat Azure Security Center proactief de opstartintegriteit kan bevestigen en bewaken. Zodra de opstartintegriteit is geïnstalleerd, wordt de opstartintegriteit getest via Remote Attestation. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele-machineschaalsets. | AuditIfNotExists, uitgeschakeld | 3.1.0-preview |
| [Preview]: virtuele Linux-machines mogen alleen ondertekende en vertrouwde opstartonderdelen gebruiken | Alle opstartonderdelen van het besturingssysteem (opstartlaadprogramma, kernel, kernelstuurprogramma's) moeten worden ondertekend door vertrouwde uitgevers. Defender voor Cloud heeft niet-vertrouwde opstartonderdelen van het besturingssysteem geïdentificeerd op een of meer van uw Linux-machines. Als u uw computers wilt beschermen tegen mogelijk schadelijke onderdelen, voegt u deze toe aan uw acceptatielijst of verwijdert u de geïdentificeerde onderdelen. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: virtuele Linux-machines moeten Beveiligd opstarten gebruiken | Als u wilt beschermen tegen de installatie van rootkits en opstartkits op basis van malware, schakelt u Secure Boot in op ondersteunde virtuele Linux-machines. Beveiligd opstarten zorgt ervoor dat alleen ondertekende besturingssystemen en stuurprogramma's mogen worden uitgevoerd. Deze evaluatie is alleen van toepassing op virtuele Linux-machines waarop de Azure Monitor Agent is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: Machines moeten poorten hebben gesloten die aanvalsvectoren mogelijk blootstellen | Azure gebruiksrechtovereenkomst verbiedt het gebruik van Azure services op manieren die schade kunnen aanbrengen, uitschakelen, overbelasten of verstoren Microsoft server of het netwerk. De weergegeven poorten die door deze aanbeveling worden geïdentificeerd, moeten worden gesloten voor uw continue beveiliging. Voor elke geïdentificeerde poort biedt de aanbeveling ook een uitleg van de mogelijke bedreiging. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [preview]: Beveiligd opstarten moet zijn ingeschakeld op ondersteunde Windows virtuele machines | Schakel Beveiligd opstarten in op ondersteunde Windows virtuele machines om schadelijke en niet-geautoriseerde wijzigingen in de opstartketen te beperken. Als dit is ingeschakeld, mogen alleen vertrouwde bootloaders, kernel- en kernelstuurprogramma's worden uitgevoerd. Deze evaluatie is van toepassing op vertrouwde start en vertrouwelijke Windows virtuele machines. | Audit, uitgeschakeld | 4.0.0-preview |
| [Preview]: Status van gastattest voor virtuele machines moet in orde zijn | Gastverklaring wordt uitgevoerd door een vertrouwd logboek (TCGLog) naar een attestation-server te verzenden. De server gebruikt deze logboeken om te bepalen of opstartonderdelen betrouwbaar zijn. Deze evaluatie is bedoeld om inbreuk te detecteren van de opstartketen die het gevolg kan zijn van een bootkit- of rootkit-infectie. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden waarop de extensie Guest Attestation is geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0-preview |
| [Preview]: vTPM moet zijn ingeschakeld op ondersteunde virtuele machines | Schakel het virtuele TPM-apparaat in op ondersteunde virtuele machines om gemeten opstart en andere beveiligingsfuncties van het besturingssysteem waarvoor een TPM is vereist, mogelijk te maken. Zodra vTPM is ingeschakeld, kan vTPM worden gebruikt om de opstartintegriteit te bevestigen. Deze evaluatie is alleen van toepassing op virtuele machines met vertrouwde startmogelijkheden. | Audit, uitgeschakeld | 2.0.0-preview |
| Er moeten maximaal 3 eigenaren worden aangewezen voor uw abonnement | Het wordt aanbevolen maximaal 3 abonnementseigenaren aan te wijzen om het risico dat een gecompromitteerde eigenaar inbreuk kan plegen te beperken. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| A vulnerability assessment solution should be enabled on your virtual machines (Er moet een oplossing voor de evaluatie van beveiligingsproblemen op uw virtuele machines worden ingeschakeld) | Controleert virtuele machines om te detecteren of er een ondersteunde oplossing voor de evaluatie van beveiligingsproblemen op wordt uitgevoerd. Een kernonderdeel van elk cyberrisico en beveiligingsprogramma is het identificeren en analyseren van beveiligingsproblemen. de standaardprijscategorie van Azure Security Center omvat het scannen op beveiligingsproblemen voor uw virtuele machines zonder extra kosten. Daarnaast kan dit hulpprogramma automatisch worden geïmplementeerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Alle netwerkpoorten moeten worden beperkt in netwerkbeveiligingsgroepen die zijn gekoppeld aan uw virtuele machine | Azure Security Center heeft vastgesteld dat bepaalde binnenkomende regels van uw netwerkbeveiligingsgroepen te permissief zijn. Inkomende regels mogen geen toegang toestaan vanuit de bereiken ‘Any’ of ‘Internet’. Dit kan mogelijke kwaadwillende personen in staat stellen om uw resources aan te vallen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| API-eindpunten in Azure API Management moeten worden geverifieerd | API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Meer informatie over de OWASP API Threat for Broken User Authentication vindt u hier: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service | Api-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen, worden als ongebruikt beschouwd en moeten worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen voor uw organisatie. Dit kunnen API's zijn die moeten zijn afgeschaft uit de Azure API Management-service, maar mogelijk per ongeluk actief zijn gelaten. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Assign System Assigned identity to SQL Virtual Machines | Wijs door het systeem toegewezen identiteit op schaal toe aan Windows virtuele SQL-machines. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services | Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. | Audit, uitgeschakeld | 2.0.1 |
| Azure DDoS-beveiliging moet zijn ingeschakeld | DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres. | AuditIfNotExists, uitgeschakeld | 3.0.1 |
| Azure Defender voor App Service moet zijn ingeschakeld | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende web-app-aanvallen. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor Azure SQL Database servers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor Key Vault moet zijn ingeschakeld | Azure Defender voor Key Vault biedt een extra beveiligingslaag en beveiligingsinformatie door ongebruikelijke en mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot of misbruik te maken van key vault accounts. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor opensource-relationele databases moet zijn ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases vindt u op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender moet zijn ingeschakeld voor Resource Manager | Azure Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender bedreigingen detecteert en waarschuwt u over verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager vindt u op https://aka.ms/defender-for-resource-manager. Als u dit Azure Defender plan inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor servers moet zijn ingeschakeld | Azure Defender voor servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Azure Defender voor SQL-servers op computers moet zijn ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele MySQL-servers | Flexibele MySQL-servers controleren zonder Advanced Data Security | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Flexibele PostgreSQL-servers | Flexibele PostgreSQL-servers zonder Advanced Data Security controleren | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Azure registercontainerinstallatiekopieën moeten beveiligingsproblemen hebben opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Het oplossen van beveiligingsproblemen kan uw beveiligingspostuur aanzienlijk verbeteren, zodat installatiekopieën veilig kunnen worden gebruikt vóór de implementatie. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Azure waarop containerinstallatiekopieën worden uitgevoerd, moeten beveiligingsproblemen zijn opgelost (mogelijk gemaakt door Microsoft Defender Vulnerability Management) | Evaluatie van beveiligingsproblemen van containerinstallatiekopieën scant uw register op bekende beveiligingsproblemen (CVE's) en biedt een gedetailleerd beveiligingsrapport voor elke installatiekopie. Deze aanbeveling biedt inzicht in kwetsbare installatiekopieën die momenteel worden uitgevoerd in uw Kubernetes-clusters. Het oplossen van beveiligingsproblemen in containerinstallatiekopieën die momenteel worden uitgevoerd, is essentieel voor het verbeteren van uw beveiligingspostuur, waardoor de kwetsbaarheid voor aanvallen voor uw in containers geplaatste workloads aanzienlijk wordt verminderd. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Blocked accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | Afgeschafte accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Blocked accounts met lees- en schrijfmachtigingen voor Azure resources moeten worden verwijderd | Afgeschafte accounts moeten worden verwijderd uit uw abonnement. Afgeschafte accounts zijn accounts waarvoor het aanmelden is geblokkeerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De ChangeTracking-extensie moet worden geïnstalleerd op uw virtuele Linux-machineschaalsets | Installeer de ChangeTracking-extensie in virtuele Linux-machineschaalsets om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| ChangeTracking-extensie moet zijn geïnstalleerd op uw Windows virtuele-machineschaalsets | Installeer de ChangeTracking-extensie op Windows virtuele-machineschaalsets om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitoring Agent. | AuditIfNotExists, uitgeschakeld | 2.0.1 |
| Rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten veilig worden geconfigureerd | Bescherm uw rolinstanties van cloudservices (uitgebreide ondersteuning) tegen aanvallen door ervoor te zorgen dat ze niet worden blootgesteld aan beveiligingsproblemen in het besturingssysteem. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Voor rolinstanties van Cloud Services (uitgebreide ondersteuning) moeten systeemupdates zijn geïnstalleerd | Beveilig uw rolinstanties voor Cloud Services (uitgebreide ondersteuning) door ervoor te zorgen dat de meest recente beveiligings- en essentiële updates erop zijn geïnstalleerd. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Advanced Threat Protection zijn ingeschakeld op Azure database voor flexibele MySQL-servers | Schakel Advanced Threat Protection in op uw Azure database voor Flexibele MySQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie Advanced Threat Protection zijn ingeschakeld op Azure database voor flexibele PostgreSQL-servers | Schakel Advanced Threat Protection in op uw Azure-database voor Flexibele PostgreSQL-servers om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Sql-servers met Arc configureren om automatisch Azure Monitor Agent te installeren | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows SQL-servers met Arc. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender te installeren voor SQL | Configureer Windows SQL-servers met Arc om de Microsoft Defender voor SQL-agent automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.2.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een Log Analytics werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.6.0 |
| Sql-servers met Arc configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics werkruimte. | DeployIfNotExists, uitgeschakeld | 1.8.0 |
| Sql-servers met arc configureren met gegevensverzamelingsregelkoppeling voor Microsoft Defender voor SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en de Microsoft Defender voor SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Sql-servers met arc configureren met gegevensverzamelingsregelkoppeling voor Microsoft Defender voor door de gebruiker gedefinieerde SQL DCR | Configureer de koppeling tussen SQL-servers met Arc en de Microsoft Defender voor door de gebruiker gedefinieerde SQL DCR. Als u deze koppeling verwijdert, wordt de detectie van beveiligingsproblemen voor sql-servers met Arc verbroken. | DeployIfNotExists, uitgeschakeld | 1.3.0 |
| Configure Azure Defender for App Service to be enabled | Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende web-app-aanvallen. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Configuratie van Azure Defender voor Azure SQL database moet worden ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Configureer Azure Defender voor opensource-relationele databases die moeten worden ingeschakeld | Azure Defender voor opensource-relationele databases detecteert afwijkende activiteiten die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. Meer informatie over de mogelijkheden van Azure Defender voor opensource-relationele databases vindt u op https://aka.ms/AzDforOpenSourceDBsDocu. Belangrijk: Als u dit plan inschakelt, worden kosten in rekening gebracht voor het beveiligen van uw opensource relationele databases. Meer informatie over de prijzen op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie van Azure Defender Resource Manager zijn ingeschakeld | Azure Defender voor Resource Manager controleert automatisch de resourcebeheerbewerkingen in uw organisatie. Azure Defender bedreigingen detecteert en waarschuwt u over verdachte activiteiten. Meer informatie over de mogelijkheden van Azure Defender voor Resource Manager vindt u op https://aka.ms/defender-for-resource-manager. Als u dit Azure Defender plan inschakelt, worden er kosten in rekening gebracht. Meer informatie over de prijsgegevens per regio op de pagina met prijzen van Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configuratie Azure Defender configureren voor servers die moeten worden ingeschakeld | Azure Defender voor servers biedt realtime bedreigingsbeveiliging voor serverworkloads en genereert aanbevelingen voor beveiliging en waarschuwingen over verdachte activiteiten. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Configureer Azure Defender voor SQL-servers op computers die moeten worden ingeschakeld | Azure Defender voor SQL biedt functionaliteit voor het opsporen en beperken van potentiële beveiligingsproblemen in databases, het detecteren van afwijkende activiteiten die kunnen duiden op bedreigingen voor SQL-databases en het detecteren en classificeren van gevoelige gegevens. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Eenvoudige Microsoft Defender configureren voor opslag die moet worden ingeschakeld (alleen activiteitsbewaking) | Microsoft Defender voor Storage biedt Azure systeemeigen detectie van bedreigingen voor opslagaccounts. Met dit beleid worden basisfuncties (Activiteitenbewaking) ingeschakeld. Gebruik aka.ms/DFStoragePolicy voor volledige beveiliging, waaronder malwarescans en detectie van gevoelige gegevens. Primaire versie-update: PerTransaction wordt na 5 februari 2025 niet meer ondersteund voor nieuwe inschakelingen. Bestaande accounts die deze gebruiken, blijven ondersteund. Meer informatie: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, uitgeschakeld | 2.0.0 |
| ChangeTracking-extensie configureren voor Linux Arc-machines | Configureer Linux Arc-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| ChangeTracking-extensie configureren voor virtuele Linux-machineschaalsets | Configureer virtuele-machineschaalsets voor Linux om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| ChangeTracking-extensie configureren voor virtuele Linux-machines | Configureer virtuele Linux-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Configure ChangeTracking Extension for Windows Arc machines | Configureer Windows Arc-machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure ChangeTracking Extension for Windows virtual machine scale sets | Configureer Windows virtuele-machineschaalsets om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.1.0 |
| Configure ChangeTracking Extension for Windows virtual machines | Configureer Windows virtuele machines om de ChangeTracking-extensie automatisch te installeren om FIM (File Integrity Monitoring) in te schakelen in Azure Security Center. FIM onderzoekt besturingssysteembestanden, Windows registers, toepassingssoftware, Linux-systeembestanden en meer, op wijzigingen die kunnen duiden op een aanval. De extensie kan worden geïnstalleerd op virtuele machines en locaties die worden ondersteund door Azure Monitor Agent. | DeployIfNotExists, uitgeschakeld | 2.2.0 |
| Machines configureren voor het ontvangen van een provider voor evaluatie van beveiligingsproblemen | Azure Defender omvat het scannen van beveiligingsproblemen op uw machines zonder extra kosten. U hebt geen Qualys-licentie of Qualys-account nodig. De scans worden naadloos uitgevoerd in Security Center. Wanneer u dit beleid inschakelt, implementeert Azure Defender automatisch de Qualys-provider voor evaluatie van beveiligingsproblemen op alle ondersteunde computers waarop het beleid nog niet is geïnstalleerd. | DeployIfNotExists, uitgeschakeld | 4.0.0 |
| Microsoft Defender CSPM-abonnement configureren | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente grafiek voor cloudbeveiliging om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft-Defender CSPM configureren | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente grafiek voor cloudbeveiliging om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | DeployIfNotExists, uitgeschakeld | 1.0.2 |
| Configuratie van Microsoft Defender Azure Cosmos DB zijn ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een Azure systeemeigen beveiligingslaag waarmee wordt gedetecteerd of er pogingen worden ondernomen om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Bedreigingsinformatie, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Microsoft Defender for Containers plan | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan Defender for Containers-plan, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Configure Microsoft Defender for Containers moet worden ingeschakeld | Microsoft Defender voor containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en Multi-Cloud Kubernetes-omgevingen. | DeployIfNotExists, uitgeschakeld | 1.0.1 |
| Configuratie Microsoft Defender voor Eindpunt integratie-instellingen met Microsoft Defender voor Cloud (WDATP_EXCLUDE_LINUX...) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_EXCLUDE_LINUX_...genoemd), voor het inschakelen van automatische inrichting van MDE voor Linux-servers. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configuratie van Microsoft Defender voor Eindpunt integratie-instellingen met Microsoft Defender voor Cloud (WDATP_UNIFIED_SOLUTION) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP_UNIFIED_SOLUTION genoemd), voor het inschakelen van automatische inrichting van MDE Unified Agent voor Windows Server 2012R2 en 2016. De WDATP-instelling moet zijn ingeschakeld om deze instelling toe te passen. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Eindpunt-integratie-instellingen configureren met Microsoft Defender voor Cloud (WDATP) | Hiermee configureert u de Microsoft Defender voor Eindpunt-integratie-instellingen, binnen Microsoft Defender voor Cloud (ook wel WDATP genoemd), voor Windows downlevel machines die zijn toegevoegd aan MDE via MMA en automatische inrichting van MDE op Windows Server 2019 , Windows Virtual Desktop en hoger. Moet zijn ingeschakeld om de andere instellingen (WDATP_UNIFIED, enzovoort) te laten werken. Zie: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint voor meer informatie. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Microsoft Defender for Key Vault plan | Microsoft Defender voor Key Vault biedt een extra beveiligingslaag en beveiligingsinformatie door ongebruikelijke en mogelijk schadelijke pogingen te detecteren om toegang te krijgen tot of misbruik te maken van key vault accounts. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure Microsoft Defender for Servers plan | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan Defender voor servers, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Microsoft Defender for Servers plan (P1 OR P2) | Zorgt ervoor dat het geselecteerde Microsoft Defender voor het subplan Servers (P1 of P2) is ingeschakeld op abonnementsniveau. Dit beleid ondersteunt dynamische selectie via parameters en dwingt implementatie af als dit nog niet is geconfigureerd. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Configure Microsoft Defender voor SQL is ingeschakeld in Synapse-werkruimten | Schakel Microsoft Defender in voor SQL in uw Azure Synapse werkruimten om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om TOEGANG te krijgen tot OF misbruik te maken van SQL-databases. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configure Microsoft Defender for Storage to be enabled | Microsoft Defender voor Storage is een Azure systeemeigen beveiligingsinformatielaag waarmee potentiële bedreigingen voor uw opslagaccounts worden gedetecteerd. Met dit beleid worden alle Defender voor opslagmogelijkheden ingeschakeld; Activiteitenbewaking, malwarescans en detectie van gevoelige gegevensrisico's. Ga naar aka.ms/DefenderForStorage voor meer informatie over Defender voor opslagmogelijkheden en -voordelen. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Configure Microsoft Defender threat protection for AI Services | Er worden voortdurend nieuwe mogelijkheden toegevoegd aan bedreigingsbeveiliging voor AI Services, waarvoor mogelijk expliciete activering van de gebruiker is vereist. Gebruik dit beleid om ervoor te zorgen dat alle nieuwe mogelijkheden zijn ingeschakeld. | DeployIfNotExists, uitgeschakeld | 1.1.0 |
| Sql-Virtual Machines configureren om Azure Monitor Agent automatisch te installeren | Automatiseer de implementatie van Azure Monitor Agent-extensie op uw Windows SQL-Virtual Machines. Meer informatie: https://aka.ms/AMAOverview. | DeployIfNotExists, uitgeschakeld | 1.6.0 |
| Configureer Windows SQL-Virtual Machines om de Microsoft Defender voor de SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.6.0 | |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een Log Analytics werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep, een regel voor gegevensverzameling en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.9.0 |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor SQL en DCR te installeren met een door de gebruiker gedefinieerde LA-werkruimte | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en een regel voor gegevensverzameling in dezelfde regio als de door de gebruiker gedefinieerde Log Analytics werkruimte. | DeployIfNotExists, uitgeschakeld | 1.10.0 |
| Sql-Virtual Machines configureren om automatisch Microsoft Defender voor de SQL-extensie te installeren | Configureer Windows SQL-Virtual Machines om de Microsoft Defender voor de SQL-extensie automatisch te installeren. Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Configure the Microsoft Defender for SQL Log Analytics workspace | Microsoft Defender voor SQL verzamelt gebeurtenissen van de agent en gebruikt deze om beveiligingswaarschuwingen en op maat gemaakte beveiligingstaken (aanbevelingen) te bieden. Maak een resourcegroep en Log Analytics werkruimte in dezelfde regio als de computer. | DeployIfNotExists, uitgeschakeld | 1.5.0 |
| Een ingebouwde door de gebruiker toegewezen beheerde identiteit maken en toewijzen | Maak en wijs een ingebouwde door de gebruiker toegewezen beheerde identiteit op schaal toe aan virtuele SQL-machines. | AuditIfNotExists, DeployIfNotExists, Uitgeschakeld | 1.8.0 |
| Deploy: onderdrukkingsregels configureren voor Azure Security Center waarschuwingen | Onderdrukt Azure Security Center waarschuwingen om vermoeidheid van waarschuwingen te verminderen door onderdrukkingsregels in uw beheergroep of abonnement te implementeren. | deployIfNotExists | 1.0.0 |
| Uitvoeren naar Event Hub als een vertrouwde service voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub inschakelen als een vertrouwde service van Microsoft Defender voor Cloud gegevens. Met dit beleid wordt een export naar Event Hub geïmplementeerd als een vertrouwde serviceconfiguratie met uw voorwaarden en de Doel-Event Hub op het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Uitvoeren naar Event Hub voor Microsoft Defender voor Cloud gegevens | Export naar Event Hub van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd in de Event Hub-configuratie met uw voorwaarden en doel-Event Hub in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.2.0 |
| Uitvoeren naar Log Analytics werkruimte voor Microsoft Defender voor Cloud gegevens | Exporteren naar Log Analytics werkruimte van Microsoft Defender voor Cloud gegevens inschakelen. Met dit beleid wordt een export geïmplementeerd naar Log Analytics werkruimteconfiguratie met uw voorwaarden en doelwerkruimte op het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 4.1.0 |
| Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud waarschuwingen | Automatisering van Microsoft Defender voor Cloud waarschuwingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud aanbevelingen | Automatisering van Microsoft Defender voor Cloud aanbevelingen inschakelen. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| Werkstroomautomatisering implementeren voor Microsoft Defender voor Cloud naleving van regelgeving | Automatisering van Microsoft Defender voor Cloud naleving van regelgeving mogelijk maken. Met dit beleid wordt een werkstroomautomatisering geïmplementeerd met uw voorwaarden en triggers in het toegewezen bereik. Als u dit beleid wilt implementeren voor onlangs gemaakte abonnementen, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 5.0.1 |
| E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 1.2.0 |
| E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld | Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center. | AuditIfNotExists, uitgeschakeld | 2.1.0 |
| Enable Microsoft Defender voor Cloud voor uw abonnement | Identificeert bestaande abonnementen die niet worden bewaakt door Microsoft Defender voor Cloud en beveiligt deze met de gratis functies van Defender voor Cloud. Abonnementen die al worden bewaakt, worden beschouwd als compatibel. Als u nieuw gemaakte abonnementen wilt registreren, opent u het tabblad Naleving, selecteert u de relevante niet-compatibele toewijzing en maakt u een hersteltaak. | deployIfNotExists | 1.0.1 |
| Enable Security Center automatische inrichting van de Log Analytics-agent voor uw abonnementen met aangepaste werkruimte. | Sta Security Center toe om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van een aangepaste werkruimte. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Enable Security Center automatische inrichting van de Log Analytics-agent in uw abonnementen met de standaardwerkruimte. | Sta Security Center toe om de Log Analytics-agent automatisch in te richten voor uw abonnementen om beveiligingsgegevens te bewaken en te verzamelen met behulp van de standaardwerkruimte van ASC. | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Bedreigingsbeveiliging inschakelen voor AI-workloads | Microsoft bedreigingsbeveiliging voor AI-workloads biedt contextuele, op bewijs gebaseerde beveiligingswaarschuwingen die zijn gericht op het beveiligen van door Generatieve AI aangedreven toepassingen | DeployIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met eigenaarsmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met leesmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Accounts met schrijfmachtigingen voor Azure resources moeten worden verwijderd | Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| De extensie voor gastconfiguratie moet op uw computers worden geïnstalleerd | Installeer de extensie Gastconfiguratie om beveiligde configuraties van in-gastinstellingen van uw computer te garanderen. In-gastinstellingen die door de extensie worden bewaakt, omvatten de configuratie van het besturingssysteem, de toepassingsconfiguratie of aanwezigheids- en omgevingsinstellingen. Na de installatie zijn in-guest-beleidsregels beschikbaar, zoals 'Windows Exploit Guard moet zijn ingeschakeld'. Meer informatie op https://aka.ms/gcpol. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Doorsturen via IP op uw virtuele machine moet zijn uitgeschakeld | Door doorsturen via IP in te schakelen op de NIC van een virtuele machine kan de computer verkeer ontvangen dat is geadresseerd aan andere bestemmingen. Doorsturen via IP is zelden vereist (bijvoorbeeld wanneer de VM wordt gebruikt als een virtueel netwerkapparaat). Daarom moet dit worden gecontroleerd door het netwerkbeveiligingsteam. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie | Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ | Audit, uitgeschakeld | 1.0.2 |
| Log Analytics-agent moet zijn geïnstalleerd op uw rolinstanties van Cloud Services (uitgebreide ondersteuning | Security Center verzamelt gegevens van uw rolinstanties van Cloud Services (uitgebreide ondersteuning) om te controleren op beveiligingsproblemen en bedreigingen. | AuditIfNotExists, uitgeschakeld | 2.0.0 |
| Computers moeten geheime bevindingen hebben opgelost | Controleert virtuele machines om te detecteren of ze geheime bevindingen van de geheime scanoplossingen op uw virtuele machines bevatten. | AuditIfNotExists, uitgeschakeld | 1.0.2 |
| Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer | Mogelijke JIT-toegang (Network Just In Time) wordt als aanbevelingen bewaakt door Azure Security Center | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Beheerpoorten moeten gesloten zijn op uw virtuele machines | Open poorten voor extern beheer stellen uw virtuele machine bloot aan een verhoogd risico op aanvallen via internet. Deze aanvallen proberen de aanmeldingsgegevens voor de beheerderstoegang tot de computer te verkrijgen. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Microsoft-Defender CSPM moet zijn ingeschakeld | Defender Cloud Security Posture Management (CSPM) biedt verbeterde postuurmogelijkheden en een nieuwe intelligente grafiek voor cloudbeveiliging om risico's te identificeren, te prioriteren en te verminderen. Defender CSPM is beschikbaar naast de gratis basisbeveiligingspostuurmogelijkheden die standaard zijn ingeschakeld in Defender voor Cloud. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor AI Services moet zijn ingeschakeld | Controleer of Microsoft Defender voor AI Services is ingeschakeld voor het abonnement. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor API's moet zijn ingeschakeld | Microsoft Defender voor API's biedt nieuwe detectie-, beschermings-, detectie- en responsdekking om te controleren op veelvoorkomende op API gebaseerde aanvallen en beveiligingsfouten. | AuditIfNotExists, uitgeschakeld | 1.0.3 |
| Microsoft Defender voor Azure Cosmos DB moet zijn ingeschakeld | Microsoft Defender voor Azure Cosmos DB is een Azure systeemeigen beveiligingslaag waarmee wordt gedetecteerd of er pogingen worden ondernomen om databases in uw Azure Cosmos DB-accounts te misbruiken. Defender voor Azure Cosmos DB detecteert potentiële SQL-injecties, bekende slechte actoren op basis van Microsoft Bedreigingsinformatie, verdachte toegangspatronen en mogelijke exploitatie van uw database via verdachte identiteiten of kwaadwillende insiders. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor containers moet zijn ingeschakeld | Microsoft Defender voor containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en Multi-Cloud Kubernetes-omgevingen. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Synapse-werkruimten | Schakel Defender in voor SQL om uw Synapse-werkruimten te beveiligen. Defender voor SQL controleert uw Synapse SQL om afwijkende activiteiten te detecteren die duiden op ongebruikelijke en mogelijk schadelijke pogingen om toegang te krijgen tot of misbruik te maken van databases. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Microsoft Defender voor Opslag moet zijn ingeschakeld | Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. De nieuwe Defender voor opslagabonnement omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Niet-internetgerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen | Bescherm uw niet-internetgerichte virtuele machines tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Role-Based Access Control (RBAC) moet worden gebruikt voor Kubernetes Services | Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Role-Based Access Control (RBAC) voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. | Audit, uitgeschakeld | 1.1.0 |
| De prijscategorie Standard voor Security Center moet zijn geselecteerd | De prijscategorie Standard maakt detectie van bedreigingen mogelijk voor netwerken en virtuele machines, waarbij bedreigingsinformatie, anomaliedetectie en gedragsanalyses worden geboden in Azure Security Center | Audit, uitgeschakeld | 1.1.0 |
| Abonnementen instellen om over te stappen op een alternatieve oplossing voor evaluatie van beveiligingsproblemen | Microsoft Defender voor cloud biedt scannen op beveiligingsproblemen voor uw machines zonder extra kosten. Als u dit beleid inschakelt, wordt Defender voor Cloud automatisch de bevindingen van de ingebouwde oplossing voor Microsoft Defender beveiligingsbeheer doorgegeven aan alle ondersteunde machines. | DeployIfNotExists, uitgeschakeld | 1.0.0-preview |
| SQL-databases moeten vinden dat beveiligingsproblemen zijn opgelost | Scanresultaten en aanbevelingen voor evaluatie van beveiligingsproblemen bewaken voor het oplossen van beveiligingsproblemen in databases. | AuditIfNotExists, uitgeschakeld | 4.1.0 |
| Automatische inrichting van SQL-servers moet zijn ingeschakeld voor SQL-servers op machinesplan | Om ervoor te zorgen dat uw SQL-VM's en SQL-servers met Arc zijn beveiligd, moet u ervoor zorgen dat de sql-gerichte Azure Monitoring Agent is geconfigureerd om automatisch te implementeren. Dit is ook nodig als u de automatische inrichting van de Microsoft Monitoring Agent eerder hebt geconfigureerd, omdat dat onderdeel wordt afgeschaft. Meer informatie: https://aka.ms/SQLAMAMigration | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| SQL-servers op computers moeten resultaten van beveiligingsproblemen hebben opgelost | Sql-evaluatie van beveiligingsproblemen scant uw database op beveiligingsproblemen en maakt eventuele afwijkingen van best practices beschikbaar, zoals onjuiste configuraties, overmatige machtigingen en onbeveiligde gevoelige gegevens. Het verhelpen van de gevonden kwetsbaarheden en problemen kan de status van uw databasebeveiliging aanzienlijk verbeteren. | AuditIfNotExists, uitgeschakeld | 1.0.0 |
| Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep | Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten | Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Er moeten systeemupdates worden geïnstalleerd op uw computers (mogelijk gemaakt door Update Center) | Op uw machines ontbreken systeem, beveiligings- en essentiële updates. Software-updates bevatten vaak essentiële patches voor beveiligingslekken. Dergelijke lekken worden vaak misbruikt in malware-aanvallen, zodat het essentieel is om uw software bijgewerkt te worden. Als u alle openstaande patches wilt installeren en uw computers wilt beveiligen, volgt u de herstelstappen. | AuditIfNotExists, uitgeschakeld | 1.0.1 |
| Er moet meer dan één eigenaar zijn toegewezen aan uw abonnement | Het is raadzaam meer dan één abonnementseigenaar toe te wijzen voor toegangsredundantie voor beheerders. | AuditIfNotExists, uitgeschakeld | 3.0.0 |
| De gastconfiguratie-extensie van virtuele machines moet worden geïmplementeerd met door het systeem toegewezen beheerde identiteit | De gastconfiguratie-extensie vereist een door het systeem toegewezen beheerde identiteit. Azure virtuele machines binnen het bereik van dit beleid niet compatibel zijn wanneer de extensie Gastconfiguratie is geïnstalleerd, maar geen door het systeem toegewezen beheerde identiteit heeft. Meer informatie vindt u op https://aka.ms/gcpol | AuditIfNotExists, uitgeschakeld | 1.0.1 |
Volgende stappen
In dit artikel hebt u meer geleerd over Azure Policy definities van beveiligingsbeleid in Defender voor Cloud. Zie Wat zijn beveiligingsbeleid, initiatieven en aanbevelingen? voor meer informatie over initiatieven, beleidsregels en hoe deze betrekking hebben op de aanbevelingen van Defender voor Cloud.