Details van het ingebouwde initiatief CIS Microsoft Azure Foundations Benchmark 1.1.0 Regulatory Compliance

2025-07-08

In het volgende artikel wordt beschreven hoe de definitie van het ingebouwde initiatief Azure Policy Regulatory Compliance wordt toegewezen aan nalevingsdomeinen en -besturingselementen in CIS Microsoft Azure Foundations Benchmark 1.1.0. Zie CIS Microsoft Azure Foundations Benchmark 1.1.0 voor meer informatie over deze nalevingsstandaard. Als u het eigendom wilt begrijpen, bekijkt u het beleidstype en de gedeelde verantwoordelijkheid in de cloud.

De volgende toewijzingen zijn overeenkomstig met de besturingselementen van CIS Microsoft Azure Foundations Benchmark 1.1.0. Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark v1.1.0 .

Belangrijk

Elk controle-element hieronder is gekoppeld aan een of meer Azure Policy-definities. Deze beleidsregels kunnen u helpen bij het beoordelen van de naleving van de controle; Er is echter vaak geen een-op-een- of volledige overeenkomst tussen een besturingselement en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit History.

1 Identiteits- en toegangsbeheer

Controleren of meervoudige verificatie is ingeschakeld voor alle bevoegde gebruikers

Id: Aanbeveling 1.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers galerie-apps kunnen toevoegen aan hun Toegangsvenster' is ingesteld op Nee

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.10 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.11 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Machtigingen voor gastgebruikers zijn beperkt' is ingesteld op Ja

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.12 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Leden kunnen uitnodigen' is ingesteld op Nee

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.13 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gasten kunnen uitnodigen' is ingesteld op Nee

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 1.14 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Toegang tot de Azure AD-beheerportal beperken' is ingesteld op Ja

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.15 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Selfservice groepsbeheer ingeschakeld' is ingesteld op 'Nee'

Id: Aanbeveling 1.16 van de CIS Microsoft Azure Foundations Benchmark Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen beveiligingsgroepen maken' is ingesteld op 'Nee'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.17 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers die beveiligingsgroepen kunnen beheren' is ingesteld op 'Geen'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.18 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers kunnen Office 365-groepen maken' is ingesteld op 'Nee'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.19 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Controleren of meervoudige verificatie is ingeschakeld voor alle onbevoegde gebruikers

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gebruikers die Office 365-groepen kunnen beheren' is ingesteld op 'Geen'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.20 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Multi-Factor Authentication vereisen om apparaten toe te voegen' is ingesteld op 'Ja'.

Id: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.22 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Externe toegang autoriseren	CMA_0024 - Externe toegang autoriseren	Handmatig, uitgeschakeld	1.1.0
Training voor documentmobiliteit	CMA_0191 - Training voor documentmobiliteit	Handmatig, uitgeschakeld	1.1.0
Richtlijnen voor externe toegang tot documenten	CMA_0196 - Richtlijnen voor externe toegang tot documenten	Handmatig, uitgeschakeld	1.1.0
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen	CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen	Handmatig, uitgeschakeld	1.1.0
Privacytraining bieden	CMA_0415 - Privacytraining bieden	Handmatig, uitgeschakeld	1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens	CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens	Handmatig, uitgeschakeld	1.1.0

Controleren of er geen aangepaste rollen voor abonnementseigenaren zijn gemaakt

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 1.23 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Een model voor toegangsbeheer ontwerpen	CMA_0129 - Een model voor toegangsbeheer ontwerpen	Handmatig, uitgeschakeld	1.1.0
Minimale toegang tot bevoegdheden gebruiken	CMA_0212 - Toegang tot minimale bevoegdheden gebruiken	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er geen gastgebruikers zijn

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd	Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen.	AuditIfNotExists, uitgeschakeld	1.0.0
Gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen	CMA_C1040 : gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen	Handmatig, uitgeschakeld	1.1.0
Accountvoorzieningslogboeken controleren	CMA_0460 - Accountvoorzieningslogboeken reviewen	Handmatig, uitgeschakeld	1.1.0
Beoordeel gebruikersaccounts	CMA_0480 - Gebruikersaccounts controleren	Handmatig, uitgeschakeld	1.1.0
Gebruikersbevoegdheden controleren	CMA_C1039 - Gebruikersbevoegdheden controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen' is uitgeschakeld

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 1.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Biometrische verificatiemechanismen aannemen	CMA_0005 - Biometrische verificatiemechanismen aannemen	Handmatig, uitgeschakeld	1.1.0
Netwerkapparaten identificeren en verifiëren	CMA_0296 - Netwerkapparaten identificeren en verifiëren	Handmatig, uitgeschakeld	1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens	CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen' niet is ingesteld op '0'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat gebruikers op de hoogte worden gesteld van het opnieuw instellen van wachtwoorden? is ingesteld op Ja

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Training implementeren voor het beveiligen van verificators	CMA_0329 - Training implementeren voor het beveiligen van verificators	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen?' is ingesteld op Ja

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Training implementeren voor het beveiligen van verificators	CMA_0329 - Training implementeren voor het beveiligen van verificators	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte roltoewijzing bewaken	CMA_0378 - Bevoorrechte roltoewijzing bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0
Toegang tot bevoegde accounts beperken	CMA_0446 - Toegang tot bevoegde accounts beperken	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte rollen intrekken, indien van toepassing	CMA_0483 - Bevoegde rollen intrekken, indien van toepassing	Handmatig, uitgeschakeld	1.1.0
Privileged Identity Management gebruiken	CMA_0533 - Het gebruik van Privileged Identity Management	Handmatig, uitgeschakeld	1.1.0

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 1.9 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0

2 Beveiligingscentrum

Controleren of de standaardprijscategorie is geselecteerd

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor App Service moet zijn ingeschakeld	Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps.	AuditIfNotExists, uitgeschakeld	1.0.3
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Azure Defender voor Key Vault moet zijn ingeschakeld	Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts.	AuditIfNotExists, uitgeschakeld	1.0.3
Azure Defender voor servers moet zijn ingeschakeld	Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd.	AuditIfNotExists, uitgeschakeld	1.0.3
Azure Defender voor SQL-servers op machines moet zijn ingeschakeld	Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens.	AuditIfNotExists, uitgeschakeld	1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld	Microsoft Defender for Containers biedt versterking, kwetsbaarheidsbeoordeling en runtime-beveiliging voor uw Azure, hybride en multi-cloud Kubernetes-omgevingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Microsoft Defender voor Storage moet zijn ingeschakeld	Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten.	AuditIfNotExists, uitgeschakeld	1.0.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Controleren of de standaardbeleidsinstelling voor "Beoordeling van beveiligingsproblemen" van de ASC niet is "uitgeschakeld"

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.10 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Er moet een oplossing voor evaluatie van beveiligingsproblemen zijn ingeschakeld op uw virtuele machines	Controleert virtuele machines om te detecteren of ze een ondersteunde oplossing voor evaluatie van beveiligingsproblemen uitvoeren. Een kernonderdeel van elk cyberrisico- en beveiligingsprogramma is de identificatie en analyse van beveiligingsproblemen. De standaardprijscategorie van Azure Security Center omvat het scannen van beveiligingsproblemen voor uw virtuele machines, zonder extra kosten. Daarnaast kan Security Center dit hulpprogramma automatisch voor u implementeren.	AuditIfNotExists, uitgeschakeld	3.0.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Storage Blob Encryption" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.11 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling voor "JIT-netwerktoegang bewaken" van de ASC niet is "uitgeschakeld"

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.12 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd	Handmatig, uitgeschakeld	1.1.0
Beheerpoorten van virtuele machines moeten worden beveiligd met Just-In-Time-netwerktoegangsbeheer	Mogelijke Just In Time-netwerktoegang (JIT) wordt als aanbeveling bewaakt door Azure Security Center	AuditIfNotExists, uitgeschakeld	3.0.0

Controleren of de standaardbeleidsinstelling voor "Controleren voor SQL" van de ASC niet is "uitgeschakeld"

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.14 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controle op SQL Server moet zijn ingeschakeld	Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.	AuditIfNotExists, uitgeschakeld	2.0.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of de standaardbeleidsinstelling voor "SQL-versleuteling bewaken" van de ASC niet is "uitgeschakeld"

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.15 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld	Transparante gegevensversleuteling moet zijn ingeschakeld om gegevens in rusttoestand te beveiligen en te voldoen aan de nalevingsvereisten.	AuditIfNotExists, uitgeschakeld	2.0.0

Controleer of het ‘E-mailadres van de contactpersoon voor beveiliging’ is ingesteld

Id: Aanbeveling 2.16 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt.	AuditIfNotExists, uitgeschakeld	1.0.1

Zorg dat 'E-mailmelding voor waarschuwingen met hoge urgentie verzenden' is ingesteld op 'ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.18 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	1.2.0

Controleren of 'E-mail ook verzenden naar eigenaars van het abonnement' is ingesteld op 'ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.19 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
E-mailmelding aan abonnementseigenaar voor waarschuwingen met hoge urgentie moet zijn ingeschakeld	Om ervoor te zorgen uw abonnementseigenaars worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in hun abonnement, kunt u e-mailmeldingen voor abonnementseigenaars instellen voor waarschuwingen met hoge urgentie in Security Center.	AuditIfNotExists, uitgeschakeld	2.1.0

Zorg dat 'Automatische inrichting van monitoragent' is ingesteld op 'Ingeschakeld'

Id: CIS Microsoft Azure Foundations Benchmark Aanbeveling 2.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Documentbeveiligingsbewerkingen	CMA_0202 - Documentbeveiligingsbewerkingen	Handmatig, uitgeschakeld	1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing	CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Systeemupdates bewaken" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Controleren of de standaardbeleidsinstelling voor "Beveiligingsproblemen van besturingssystemen bewaken" van de ASC niet is "uitgeschakeld"

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Endpoint Protection" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Disk Encryption" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Network Security Groups" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheersen	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Web Application Firewall" niet "Uitgeschakeld" is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheersen	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de standaardbeleidsinstelling van ASC "NGFW-bewaking inschakelen" niet "uitgeschakeld" is.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 2.9 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheersen	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Op internet gerichte virtuele machines moeten worden beveiligd met netwerkbeveiligingsgroepen	Bescherm uw virtuele machines tegen mogelijke bedreigingen door de toegang tot de VM te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). U vindt meer informatie over het beheren van verkeer met NSG's op https://aka.ms/nsg-doc	AuditIfNotExists, uitgeschakeld	3.0.0
Subnetten moeten worden gekoppeld aan een netwerkbeveiligingsgroep	Bescherm uw subnet tegen mogelijke bedreigingen door de toegang te beperken met een netwerkbeveiligingsgroep (Network Security Group/NSG). NSG's bevatten een lijst met ACL-regels (Access Control List) waarmee netwerkverkeer naar uw subnet wordt toegestaan of geweigerd.	AuditIfNotExists, uitgeschakeld	3.0.0

3 Opslagrekeningen

Controleren of 'beveiligde overdracht vereist' is ingesteld op 'ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 3.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld	Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking	Controleren, Weigeren, Uitgeschakeld	2.0.0

Zorg ervoor dat toegangssleutels voor opslagaccounts periodiek opnieuw worden gegenereerd

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 3.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Symmetrische cryptografische sleutels beheren	CMA_0367 - Beheer van symmetrische cryptografische sleutels	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor queue-service voor lees-, schrijf- en verwijderaanvragen

ID: Aanbeveling 3.3 van de CIS Microsoft Azure Foundations Benchmark Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Mogelijkheden voor Azure Audit configureren	CMA_C1108 - Mogelijkheden voor Azure Audit configureren	Handmatig, uitgeschakeld	1.1.1
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat handtekeningentokens voor gedeelde toegang binnen een uur verlopen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 3.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Verificators uitschakelen na beëindiging	CMA_0169 - Verificators uitschakelen na beëindiging	Handmatig, uitgeschakeld	1.1.0
Bevoorrechte rollen intrekken, indien van toepassing	CMA_0483 - Bevoegde rollen intrekken, indien van toepassing	Handmatig, uitgeschakeld	1.1.0
Gebruikerssessie automatisch beëindigen	CMA_C1054 - Gebruikerssessie automatisch beëindigen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat tokens voor gedeelde toegangshandtekeningen alleen via https zijn toegestaan

Id: CIS Microsoft Azure Foundations Benchmark aanbeveling 3.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat openbaar toegangsniveau is ingesteld op Privé voor blobcontainers

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 3.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0
Openbare toegang tot een opslagaccount moet niet worden toegestaan	Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.	controleren, Audit, weigeren, Weigeren, uitgeschakeld, Uitgeschakeld	3.1.1

Controleren of de standaardregel voor netwerktoegang voor opslagaccounts is ingesteld op weigeren

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 3.7 Eigenaarschap: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Netwerktoegang tot opslagaccounts moet zijn beperkt	Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet	Controleren, Weigeren, Uitgeschakeld	1.1.1

Controleren of vertrouwde Microsoft-services zijn ingeschakeld voor toegang tot het opslagaccount

ID: Aanbeveling CIS Microsoft Azure Foundations Benchmark 3.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheersen	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0
Configuratiestandaarden voor firewall en router instellen	CMA_0272 - Configuratiestandaarden voor firewall en router instellen	Handmatig, uitgeschakeld	1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving	CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder	Handmatig, uitgeschakeld	1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren	CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren	Handmatig, uitgeschakeld	1.1.0
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan	Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount.	Controleren, Weigeren, Uitgeschakeld	1.0.0

4 Database Diensten

Zorg ervoor dat 'Audit' is ingesteld op 'Aan'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controle op SQL Server moet zijn ingeschakeld	Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek.	AuditIfNotExists, uitgeschakeld	2.0.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of de TDE-beveiliging van SQL-server is versleuteld met BYOK (Uw eigen sleutel gebruiken)

Id: Aanbeveling 4.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
SQL-beheerde instanties moeten door de klant beheerde sleutels gebruiken om gegevens in rust te versleutelen	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.0
SQL-servers moeten door de klant beheerde sleutels gebruiken om gegevens in rusttoestand te versleutelen	TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste.	Controleren, Weigeren, Uitgeschakeld	2.0.1

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op "INGESCHAKELD" voor MySQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.11 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Het afdwingen van een SSL-verbinding moet ingeschakeld worden voor MySQL-databaseservers	Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Audit, uitgeschakeld	1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of de serverparameter ‘log_checkpoints’ is ingesteld op AAN voor PostgreSQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.12 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Logboekcontrolepunten moeten zijn ingeschakeld voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_checkpoints hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op ‘INGESCHAKELD’ voor PostgreSQL-databaseservers

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.13 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Het afdwingen van een SSL-verbinding moet ingeschakeld zijn voor PostgreSQL-databaseservers	Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver.	Audit, uitgeschakeld	1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of de serverparameter ‘log_connections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 4.14 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_connections hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of dat de serverparameter ‘log_disconnections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 4.15 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Verbroken verbindingen moeten in een logboek worden vastgelegd voor PostgreSQL-databaseservers.	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_disconnections hoeven te worden ingeschakeld.	AuditIfNotExists, uitgeschakeld	1.0.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat serverparameter 'log_duration' is ingesteld op 'AAN' voor PostgreSQL Database Server

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.16 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of de serverparameter ‘connection_throttling’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.17 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Verbindingsthrottling moet ingeschakeld zijn voor PostgreSQL-databaseservers	Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er verbindingsbeperking hoeft te worden ingeschakeld. Met deze instelling schakelt u tijdelijke beperking van de verbinding per IP in voor te veel ongeldige wachtwoordaanmeldingen.	AuditIfNotExists, uitgeschakeld	1.0.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de serverparameter 'log_retention_days' langer is dan 3 dagen voor PostgreSQL-databaseserver

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.18 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de Azure Active Directory-beheerder is geconfigureerd

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.19 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg dat 'AuditActionGroups' in het auditingbeleid voor een SQL-server correct is ingesteld.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0
In de instellingen van SQL-controle moeten actiegroepen zijn geconfigureerd om kritieke activiteiten te kunnen vastleggen	De eigenschap AuditActionsAndGroups moet ten minste SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP bevatten om een grondige auditlogboekregistratie te garanderen.	AuditIfNotExists, uitgeschakeld	1.0.0

Controleer of de bewaarperiode van 'Audit' 'meer dan 90 dagen' is.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger	Voor onderzoeksdoeleinden bij incidenten raden we u aan om de gegevensbewaring voor de audit van uw SQL Server in uw opslagaccount in te stellen op ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden.	AuditIfNotExists, uitgeschakeld	3.0.0

Controleren of 'Advanced Data Security' op een SQL-server is ingesteld op 'Aan'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.4 Eigenaarschap: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers	SQL-servers zonder Advanced Data Security controleren	AuditIfNotExists, uitgeschakeld	2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances	Controleer elke SQL Managed Instance zonder Advanced Data Security.	AuditIfNotExists, uitgeschakeld	1.0.2
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Typen bedreigingsdetectie' is ingesteld op 'Alle'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Waarschuwingen verzenden naar' is ingesteld

Id: Aanbeveling 4.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'E-mailservice en medebeheerders' is 'Ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de Azure Active Directory-beheerder is geconfigureerd

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers	Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk	AuditIfNotExists, uitgeschakeld	1.0.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Controleren of 'gegevensversleuteling' is ingesteld op 'ingeschakeld' op een SQL Database

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 4.9 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld	Transparante gegevensversleuteling moet zijn ingeschakeld om gegevens in rusttoestand te beveiligen en te voldoen aan de nalevingsvereisten.	AuditIfNotExists, uitgeschakeld	2.0.0

5 Logboekregistratie en bewaking

Controleren of er een logboekprofiel bestaat

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Azure-abonnementen moeten een logboekprofiel voor het activiteitenlogboek hebben	Dit beleid zorgt ervoor dat een logboekprofiel is ingeschakeld voor het exporteren van activiteitenlogboeken. Het controleert of er geen logboekprofiel is gemaakt om de logboeken te exporteren naar een opslagaccount of een Event Hub.	AuditIfNotExists, uitgeschakeld	1.0.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Controleren of de bewaarperiode van het activiteitenlogboek op 365 dagen of groter is ingesteld

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Het activiteitenlogboek moet ten minste één jaar worden bewaard	Met dit beleid wordt het activiteitenlogboek gecontroleerd als de bewaarperiode niet is ingesteld op 365 dagen of permanent (bewaarperiode ingesteld op 0).	AuditIfNotExists, uitgeschakeld	1.0.0
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Controleren of het controleprofiel alle activiteiten vastlegt

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Met het Azure Monitor-logboekprofiel moeten logboeken worden verzameld voor de categorieën ‘schrijven’, ‘verwijderen’ en ‘actie’	Met dit beleid wordt ervoor gezorgd dat in een logboekprofiel logboeken worden verzameld voor de categorieën 'schrijven', 'verwijderen' en 'actie'	AuditIfNotExists, uitgeschakeld	1.0.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat het logboekprofiel activiteitenlogboeken vastlegt voor alle regio's, waaronder globaal

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Azure Monitor moet activiteitenlogboeken uit alle regio's verzamelen	Met dit beleid wordt het Azure Monitor-logboekprofiel gecontroleerd waarbij geen activiteiten worden geëxporteerd uit alle door Azure ondersteunde regio's, inclusief wereldwijd.	AuditIfNotExists, uitgeschakeld	2.0.0
Controleverwerkingsactiviteiten beheren en bewaken	CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de opslagcontainer die de activiteitenlogboeken opslaat, niet openbaar toegankelijk is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Dubbele of gezamenlijke autorisatie inschakelen	CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen	Handmatig, uitgeschakeld	1.1.0
Controlegegevens beveiligen	CMA_0401 - Controlegegevens beveiligen	Handmatig, uitgeschakeld	1.1.0
Openbare toegang tot een opslagaccount moet niet worden toegestaan	Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario.	controleren, Audit, weigeren, Weigeren, uitgeschakeld, Uitgeschakeld	3.1.1

Controleren of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK (Uw eigen sleutel gebruiken)

Id: Aanbeveling 5.1.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Dubbele of gezamenlijke autorisatie inschakelen	CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen	Handmatig, uitgeschakeld	1.1.0
Integriteit van controlesysteem behouden	CMA_C1133 - Integriteit van controlesysteem behouden	Handmatig, uitgeschakeld	1.1.0
Controlegegevens beveiligen	CMA_0401 - Controlegegevens beveiligen	Handmatig, uitgeschakeld	1.1.0
Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK	Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok.	AuditIfNotExists, uitgeschakeld	1.0.0

Zorg ervoor dat de logboekregistratie voor Azure KeyVault is 'ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.1.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Bevoegde functies controleren	CMA_0019 - Bevoegde functies controleren	Handmatig, uitgeschakeld	1.1.0
Status van gebruikersaccount controleren	CMA_0020 - Status van gebruikersaccount controleren	Handmatig, uitgeschakeld	1.1.0
Controleerbare gebeurtenissen bepalen	CMA_0137 - Controleerbare gebeurtenissen bepalen	Handmatig, uitgeschakeld	1.1.0
Resourcelogboeken in beheerde HSM van Azure Key Vault moeten zijn ingeschakeld	Als u activiteitentrails voor onderzoeksdoeleinden opnieuw wilt maken wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast, wilt u mogelijk controleren door resourcelogboeken in te schakelen op beheerde HSM's. Volg de instructies hier: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging.	AuditIfNotExists, uitgeschakeld	1.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld	Controleer het inschakelen van bronnenlogboeken. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast	AuditIfNotExists, uitgeschakeld	5.0.0
Auditgegevens beoordelen	CMA_0466 - Controlegegevens controleren	Handmatig, uitgeschakeld	1.1.0

Controleren of er een activiteitenlogboekwaarschuwing bestaat voor het creëren van een beleidsopdracht.

ID: CIS Microsoft Azure Foundations Benchmark-aanbeveling 5.2.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen	Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	3.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een activiteitenlogboekwaarschuwing bestaat voor het aanmaken of bijwerken van een netwerkbeveiligingsgroep

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een waarschuwing in het activiteitenlogboek bestaat voor het verwijderen van een netwerkbeveiligingsgroep.

ID: Aanbeveling 5.2.3 van de CIS Microsoft Azure Foundations Benchmark Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een activiteitlogboekwaarschuwing bestaat voor het maken of bijwerken van een regel voor een netwerkbeveiligingsgroep.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleer of er een activiteitenlogboekwaarschuwing bestaat voor het elimineren van een regel in de netwerkbeveiligingsgroep.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een activiteitenlogboekwaarschuwing bestaat voor het aanmaken of bijwerken van een beveiligingsoplossing.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen	Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat er een activiteitenlogboekwaarschuwing bestaat voor het verwijderen van de beveiligingsoplossing.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen	Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken, bijwerken of verwijderen van een SQL Server-firewallregel.

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 5.2.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen	Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

Controleren of er een activiteitenlogboekwaarschuwing bestaat voor het bijwerken van het beveiligingsbeleid

ID: CIS Microsoft Azure Foundations Benchmark-aanbeveling 5.2.9 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Personeel waarschuwen voor informatielek	CMA_0007 - Waarschuwingspersoneel bij overloop van informatie	Handmatig, uitgeschakeld	1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen	Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd.	AuditIfNotExists, uitgeschakeld	1.0.0
Een plan voor het reageren op incidenten ontwikkelen	CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen	Handmatig, uitgeschakeld	1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie	Handmatig, uitgeschakeld	1.1.0

6 Netwerken

Zorg ervoor dat geen SQL-databases toegang 0.0.0.0/0 (ALLE IP) toestaan

ID: CIS Microsoft Azure Foundations Benchmark-aanbeveling 6.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Informatiestroom beheren	CMA_0079 - Informatiestroom beheersen	Handmatig, uitgeschakeld	1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken	CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de bewaarperiode voor stroomlogboeken voor netwerkbeveiligingsgroepen 'langer dan 90 dagen' is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 6.4 Eigenaarschap: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd	CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden	Handmatig, uitgeschakeld	1.1.0
Beveiligingsbeleid en -procedures behouden	CMA_0454 - Beveiligingsbeleid en -procedures behouden	Handmatig, uitgeschakeld	1.1.0
Beëindigde gebruikersgegevens behouden	CMA_0455 - Beëindigde gebruikersgegevens behouden	Handmatig, uitgeschakeld	1.1.0

Controleren of Network Watcher is 'ingeschakeld'

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 6.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0
Beveiligingsfuncties controleren	CMA_C1708 - Beveiligingsfuncties controleren	Handmatig, uitgeschakeld	1.1.0

7 Virtuele machines

Zorg ervoor dat de 'OS-schijf' is versleuteld

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 7.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Gegevensschijven' zijn versleuteld

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 7.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat 'Niet-aangesloten schijven' zijn versleuteld

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 7.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerprocedure voor gegevenslekken instellen	CMA_0255 - Een beheerprocedure voor gegevenslekken instellen	Handmatig, uitgeschakeld	1.1.0
Besturingselementen implementeren om alle media te beveiligen	CMA_0314 - Besturingselementen implementeren om alle media te beveiligen	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Speciale informatie beveiligen	CMA_0409 - Speciale informatie beveiligen	Handmatig, uitgeschakeld	1.1.0

Controleren of alleen goedgekeurde extensies zijn geïnstalleerd

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 7.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd	Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd.	Controleren, Weigeren, Uitgeschakeld	1.0.0

Controleren of de meest recente besturingssysteempatches voor alle virtuele machines zijn toegepast

ID: CIS Microsoft Azure Foundations Benchmark Aanbeveling 7.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Controleer of Endpoint Protection voor alle virtuele machines is geïnstalleerd

Id: CIS Microsoft Azure Foundations Benchmark Aanbeveling 7.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB	Handmatig, uitgeschakeld	1.1.0
Documentbeveiligingsbewerkingen	CMA_0202 - Documentbeveiligingsbewerkingen	Handmatig, uitgeschakeld	1.1.0
Gateways beheren	CMA_0363 - Gateways beheren	Handmatig, uitgeschakeld	1.1.0
Een trendanalyse uitvoeren op bedreigingen	CMA_0389 - Een trendanalyse uitvoeren op bedreigingen	Handmatig, uitgeschakeld	1.1.0
Beveiligingsscans uitvoeren	CMA_0393 - Beveiligingsscans uitvoeren	Handmatig, uitgeschakeld	1.1.0
Rapport malwaredetecties wekelijks bekijken	CMA_0475 - Rapport malwaredetecties wekelijks bekijken	Handmatig, uitgeschakeld	1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken	CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren	Handmatig, uitgeschakeld	1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing	CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing	Handmatig, uitgeschakeld	1.1.0
Antivirusdefinities bijwerken	CMA_0517 - Antivirusdefinities bijwerken	Handmatig, uitgeschakeld	1.1.0
Integriteit van software, firmware en informatie controleren	CMA_0542 - Integriteit van software, firmware en informatie controleren	Handmatig, uitgeschakeld	1.1.0

8 Andere beveiligingsoverwegingen

Zorg ervoor dat de vervaldatum is ingesteld op alle sleutels

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 8.1 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-sleutels moeten een vervaldatum hebben	Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Beheer van symmetrische cryptografische sleutels	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de vervaldatum is ingesteld voor alle geheimen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 8.2 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Een beheerproces voor fysieke sleutels definiëren	CMA_0115 - Een beheerproces voor fysieke sleutels definiëren	Handmatig, uitgeschakeld	1.1.0
Cryptografisch gebruik definiëren	CMA_0120 - Cryptografisch gebruik definiëren	Handmatig, uitgeschakeld	1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer	CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren	Handmatig, uitgeschakeld	1.1.0
Assertievereisten bepalen	CMA_0136 - Assertievereisten bepalen	Handmatig, uitgeschakeld	1.1.0
Certificaten voor openbare sleutels uitgeven	CMA_0347 - Openbare-sleutelcertificaten uitgeven	Handmatig, uitgeschakeld	1.1.0
Key Vault-geheimen moeten een vervaldatum hebben	Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen.	Controleren, Weigeren, Uitgeschakeld	1.0.2
Symmetrische cryptografische sleutels beheren	CMA_0367 - Beheer van symmetrische cryptografische sleutels	Handmatig, uitgeschakeld	1.1.0
Toegang tot persoonlijke sleutels beperken	CMA_0445 - Toegang tot persoonlijke sleutels beperken	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat resourcevergrendelingen zijn ingesteld voor bedrijfskritieke Azure-resources

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 8.3 Eigenaarschap: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Stel wijzigingsbeheerprocessen vast en documenteer ze	CMA_0265 - Wijzigingsbeheerprocessen opzetten en documenteren	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de sleutelkluis herstelbaar is

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 8.4 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Beheerde HSM van Azure Key Vault moet beveiliging tegen verwijdering ingeschakeld hebben	Het verwijderen van een door Azure Key Vault beheerde HSM kan leiden tot permanent gegevensverlies. Een kwaadwillende insider in uw organisatie kan azure Key Vault Managed HSM mogelijk verwijderen en opschonen. Opschoningsbeveiliging beschermt u tegen insider-aanvallen door een verplichte bewaarperiode af te dwingen voor zacht verwijderde beheerde HSM van Azure Key Vault. Niemand binnen uw organisatie of Microsoft kan uw beheerde HSM van Azure Key Vault leegmaken tijdens de bewaarperiode voor voorlopig verwijderen.	Controleren, Weigeren, Uitgeschakeld	1.0.0
Sleutelkluizen moeten zijn voorzien van verwijderingsbeveiliging	Kwaadwillige verwijdering van een key vault kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door verwijderbescherming en soft delete in te schakelen. Purge-beveiliging beschermt u tegen insider-aanvallen door een verplichte bewaarperiode voor zacht verwijderde sleutelkluizen af te dwingen. Tijdens de periode van zachte verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard zacht verwijderen is ingeschakeld.	Controleren, Weigeren, Uitgeschakeld	2.1.0
Beschikbaarheid van informatie behouden	CMA_C1644 - Beschikbaarheid van informatie behouden	Handmatig, uitgeschakeld	1.1.0

Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services

ID: Aanbeveling 8.5 van CIS Microsoft Azure Foundations Benchmark Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren	CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren	Handmatig, uitgeschakeld	1.1.0
Toegang autoriseren en beheren	CMA_0023 - Toegang autoriseren en beheren	Handmatig, uitgeschakeld	1.1.0
Logische toegang afdwingen	CMA_0245 - Logische toegang afdwingen	Handmatig, uitgeschakeld	1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen	CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen	Handmatig, uitgeschakeld	1.1.0
Goedkeuring vereisen voor het maken van een account	CMA_0431 - Goedkeuring vereisen voor het maken van accounts	Handmatig, uitgeschakeld	1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens	Handmatig, uitgeschakeld	1.1.0
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services	Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren.	Audit, uitgeschakeld	1.1.0

9 App-service

Zorg ervoor dat App Service-verificatie is ingeschakeld op Azure App Service

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.1 Verantwoordelijkheid: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten verificatie hebben ingeschakeld	Azure App Service-verificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken. Het kan ook aanvragen die gebruik maken van tokens authentiseren voordat ze de web-app bereiken.	AuditIfNotExists, uitgeschakeld	2.0.1
Verifiëren bij cryptografische module	CMA_0021 - Authenticeren bij cryptografische module	Handmatig, uitgeschakeld	1.1.0
Uniekheid van gebruikers afdwingen	CMA_0250 - Uniekheid van gebruikers afdwingen	Handmatig, uitgeschakeld	1.1.0
Voor functie-apps moet verificatie zijn ingeschakeld	Azure App Service-authenticatie is een functie die kan voorkomen dat anonieme HTTP-verzoeken de Function app bereiken, of die verzoeken met tokens authenticeert voordat ze de Function app bereiken.	AuditIfNotExists, uitgeschakeld	3.0.0
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten	CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten	Handmatig, uitgeschakeld	1.1.0

Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de web-app te openen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.10 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken	Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	4.0.0
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de web-app al het HTTP-verkeer omleidt naar HTTPS in Azure App Service.

ID: CIS Microsoft Azure Foundations Benchmark-aanbeveling 9.2 Eigenaarschap: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS	Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag.	Audit, Uitschakelen, Weigering	4.0.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of voor de web-app de nieuwste versie van TLS-versleuteling wordt gebruikt

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.3 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.1.0
Werkstations configureren om te controleren op digitale certificaten	CMA_0073 - Werkstations configureren om te controleren op digitale certificaten	Handmatig, uitgeschakeld	1.1.0
Functie-apps moeten de nieuwste TLS-versie gebruiken	Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie.	AuditIfNotExists, uitgeschakeld	2.1.0
Gegevens tijdens overdracht beveiligen met versleuteling	CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling	Handmatig, uitgeschakeld	1.1.0
Wachtwoorden beveiligen met versleuteling	CMA_0408 - Wachtwoorden beveiligen met versleuteling	Handmatig, uitgeschakeld	1.1.0

Controleren of de web-app 'Clientcertificaten' (inkomende clientcertificaten) heeft ingesteld op 'Aan'

ID: Aanbeveling 9.4 van CIS Microsoft Azure Foundations Benchmark Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten.	Audit, uitgeschakeld	3.1.0 afgeschaft
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld	Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1.	AuditIfNotExists, uitgeschakeld	1.0.0
Verifiëren bij cryptografische module	CMA_0021 - Authenticeren bij cryptografische module	Handmatig, uitgeschakeld	1.1.0

Controleren of registratie in Azure Active Directory is ingeschakeld voor de App Service

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.5 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
App Service-apps moeten beheerde identiteiten gebruiken	Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging	AuditIfNotExists, uitgeschakeld	3.0.0
Accountbeheer automatiseren	CMA_0026 - Accountbeheer automatiseren	Handmatig, uitgeschakeld	1.1.0
Functie-apps moeten beheerde identiteiten gebruiken	Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging	AuditIfNotExists, uitgeschakeld	3.0.0
Systeem- en beheerdersaccounts beheren	CMA_0368 - Systeem- en beheerdersaccounts beheren	Handmatig, uitgeschakeld	1.1.0
Toegang in de hele organisatie bewaken	CMA_0376 - Toegang in de hele organisatie bewaken	Handmatig, uitgeschakeld	1.1.0
Waarschuwen wanneer account niet nodig is	CMA_0383 - Melden wanneer het account niet nodig is	Handmatig, uitgeschakeld	1.1.0

Zorg ervoor dat de '.Net Framework'-versie de nieuwste is, als deze wordt gebruikt als onderdeel van de web-app

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.6 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Controleren of de ‘PHP-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.7 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Controleren of de ‘Python-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.8 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Controleren of de ‘Java-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

ID: CIS Microsoft Azure Foundations Benchmark aanbeveling 9.9 Eigendom: Gedeeld

Naam _{(Azure Portal)}	Beschrijving	Gevolg(en)	Versie _(GitHub)
Fouten in het informatiesysteem oplossen	CMA_0427 - Fouten in het informatiesysteem herstellen	Handmatig, uitgeschakeld	1.1.0

Volgende stappen

Aanvullende artikelen over Azure Policy:

Overzicht van naleving van regelgeving .
Bekijk de structuur van initiatiefdefinities.
Bekijk andere voorbeelden op Voorbeelden van Azure Policy.
Lees Informatie over de effecten van het beleid.
Ontdek hoe u niet-conforme bronnen kunt corrigeren.

Delen via

Details van het ingebouwde initiatief CIS Microsoft Azure Foundations Benchmark 1.1.0 Regulatory Compliance

1 Identiteits- en toegangsbeheer

Controleren of meervoudige verificatie is ingeschakeld voor alle bevoegde gebruikers

Zorg ervoor dat 'Gebruikers galerie-apps kunnen toevoegen aan hun Toegangsvenster' is ingesteld op Nee

Zorg ervoor dat 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee

Zorg ervoor dat 'Machtigingen voor gastgebruikers zijn beperkt' is ingesteld op Ja

Zorg ervoor dat 'Leden kunnen uitnodigen' is ingesteld op Nee

Zorg ervoor dat 'Gasten kunnen uitnodigen' is ingesteld op Nee

Zorg ervoor dat 'Toegang tot de Azure AD-beheerportal beperken' is ingesteld op Ja

Zorg ervoor dat 'Selfservice groepsbeheer ingeschakeld' is ingesteld op 'Nee'

Zorg ervoor dat 'Gebruikers kunnen beveiligingsgroepen maken' is ingesteld op 'Nee'

Zorg ervoor dat 'Gebruikers die beveiligingsgroepen kunnen beheren' is ingesteld op 'Geen'

Zorg ervoor dat 'Gebruikers kunnen Office 365-groepen maken' is ingesteld op 'Nee'

Controleren of meervoudige verificatie is ingeschakeld voor alle onbevoegde gebruikers

Zorg ervoor dat 'Gebruikers die Office 365-groepen kunnen beheren' is ingesteld op 'Geen'

Zorg ervoor dat 'Multi-Factor Authentication vereisen om apparaten toe te voegen' is ingesteld op 'Ja'.

Controleren of er geen aangepaste rollen voor abonnementseigenaren zijn gemaakt

Zorg ervoor dat er geen gastgebruikers zijn

Zorg ervoor dat 'Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen' is uitgeschakeld

Zorg ervoor dat 'Aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen' niet is ingesteld op '0'

Zorg ervoor dat gebruikers op de hoogte worden gesteld van het opnieuw instellen van wachtwoorden? is ingesteld op Ja

Zorg ervoor dat 'Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen?' is ingesteld op Ja

Zorg ervoor dat 'Gebruikers toestemming kunnen geven voor apps die namens hen bedrijfsgegevens openen' is ingesteld op Nee

2 Beveiligingscentrum

Controleren of de standaardprijscategorie is geselecteerd

Controleren of de standaardbeleidsinstelling voor "Beoordeling van beveiligingsproblemen" van de ASC niet is "uitgeschakeld"

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Storage Blob Encryption" niet "Uitgeschakeld" is

Zorg ervoor dat de standaardbeleidsinstelling voor "JIT-netwerktoegang bewaken" van de ASC niet is "uitgeschakeld"

Controleren of de standaardbeleidsinstelling voor "Controleren voor SQL" van de ASC niet is "uitgeschakeld"

Controleren of de standaardbeleidsinstelling voor "SQL-versleuteling bewaken" van de ASC niet is "uitgeschakeld"

Controleer of het ‘E-mailadres van de contactpersoon voor beveiliging’ is ingesteld

Zorg dat 'E-mailmelding voor waarschuwingen met hoge urgentie verzenden' is ingesteld op 'ingeschakeld'

Controleren of 'E-mail ook verzenden naar eigenaars van het abonnement' is ingesteld op 'ingeschakeld'

Zorg dat 'Automatische inrichting van monitoragent' is ingesteld op 'Ingeschakeld'

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Systeemupdates bewaken" niet "Uitgeschakeld" is

Controleren of de standaardbeleidsinstelling voor "Beveiligingsproblemen van besturingssystemen bewaken" van de ASC niet is "uitgeschakeld"

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Endpoint Protection" niet "Uitgeschakeld" is

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Disk Encryption" niet "Uitgeschakeld" is

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Network Security Groups" niet "Uitgeschakeld" is

Zorg ervoor dat de standaardbeleidsinstelling van ASC "Monitor Web Application Firewall" niet "Uitgeschakeld" is

Zorg ervoor dat de standaardbeleidsinstelling van ASC "NGFW-bewaking inschakelen" niet "uitgeschakeld" is.

3 Opslagrekeningen

Controleren of 'beveiligde overdracht vereist' is ingesteld op 'ingeschakeld'

Zorg ervoor dat toegangssleutels voor opslagaccounts periodiek opnieuw worden gegenereerd

Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor queue-service voor lees-, schrijf- en verwijderaanvragen

Zorg ervoor dat handtekeningentokens voor gedeelde toegang binnen een uur verlopen

Zorg ervoor dat tokens voor gedeelde toegangshandtekeningen alleen via https zijn toegestaan

Zorg ervoor dat openbaar toegangsniveau is ingesteld op Privé voor blobcontainers

Controleren of de standaardregel voor netwerktoegang voor opslagaccounts is ingesteld op weigeren

Controleren of vertrouwde Microsoft-services zijn ingeschakeld voor toegang tot het opslagaccount

4 Database Diensten

Zorg ervoor dat 'Audit' is ingesteld op 'Aan'

Controleren of de TDE-beveiliging van SQL-server is versleuteld met BYOK (Uw eigen sleutel gebruiken)

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op "INGESCHAKELD" voor MySQL-databaseserver

Controleren of de serverparameter ‘log_checkpoints’ is ingesteld op AAN voor PostgreSQL-databaseserver

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op ‘INGESCHAKELD’ voor PostgreSQL-databaseservers

Controleren of de serverparameter ‘log_connections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Controleren of dat de serverparameter ‘log_disconnections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Zorg ervoor dat serverparameter 'log_duration' is ingesteld op 'AAN' voor PostgreSQL Database Server

Controleren of de serverparameter ‘connection_throttling’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver

Zorg ervoor dat de serverparameter 'log_retention_days' langer is dan 3 dagen voor PostgreSQL-databaseserver

Zorg ervoor dat de Azure Active Directory-beheerder is geconfigureerd

Zorg dat 'AuditActionGroups' in het auditingbeleid voor een SQL-server correct is ingesteld.

Controleer of de bewaarperiode van 'Audit' 'meer dan 90 dagen' is.

Controleren of 'Advanced Data Security' op een SQL-server is ingesteld op 'Aan'

Zorg ervoor dat 'Typen bedreigingsdetectie' is ingesteld op 'Alle'

Zorg ervoor dat 'Waarschuwingen verzenden naar' is ingesteld

Zorg ervoor dat 'E-mailservice en medebeheerders' is 'Ingeschakeld'

Zorg ervoor dat de Azure Active Directory-beheerder is geconfigureerd

Controleren of 'gegevensversleuteling' is ingesteld op 'ingeschakeld' op een SQL Database

5 Logboekregistratie en bewaking

Controleren of er een logboekprofiel bestaat

Controleren of de bewaarperiode van het activiteitenlogboek op 365 dagen of groter is ingesteld

Controleren of het controleprofiel alle activiteiten vastlegt

Zorg ervoor dat het logboekprofiel activiteitenlogboeken vastlegt voor alle regio's, waaronder globaal

Zorg ervoor dat de opslagcontainer die de activiteitenlogboeken opslaat, niet openbaar toegankelijk is

Controleren of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK (Uw eigen sleutel gebruiken)

Zorg ervoor dat de logboekregistratie voor Azure KeyVault is 'ingeschakeld'

Controleren of er een activiteitenlogboekwaarschuwing bestaat voor het creëren van een beleidsopdracht.