Details van het ingebouwde initiatief naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark 1.3.0

In het volgende artikel wordt beschreven hoe de ingebouwde initiatiefdefinitie naleving van Azure Policy-regelgeving wordt toegewezen aan nalevingsdomeinen en controles in CIS Microsoft Azure Foundations Benchmark 1.3.0. Zie CIS Microsoft Azure Foundations Benchmark 1.3.0 voor meer informatie over deze nalevingsstandaard. Zie Azure Policy-beleidsdefinitie en Gedeelde verantwoordelijkheid in de Cloud om Eigendom te begrijpen.

De volgende toewijzingen zijn voor de besturingselementen CIS Microsoft Azure Foundations Benchmark 1.3.0 . Veel van de beheeropties worden geïmplementeerd met een Azure Policy-initiatiefdefinitie. Als u de complete initiatiefdefinitie wilt bekijken, opent u Beleid in de Azure-portal en selecteert u de pagina Definities. Zoek en selecteer vervolgens de ingebouwde initiatiefdefinitie voor naleving van regelgeving in CIS Microsoft Azure Foundations Benchmark v1.3.0 .

Belangrijk

Elke beheeroptie hieronder is gekoppeld aan een of meer Azure Policy-definities. Met deze beleidsregels kunt u de compliance beoordelen met de beheeroptie. Er is echter vaak geen één-op-één- of volledige overeenkomst tussen een beheeroptie en een of meer beleidsregels. Als zodanig verwijst de term Conform in Azure Policy alleen naar de beleidsdefinities zelf. Dit garandeert niet dat u volledig conform bent met alle vereisten van een beheeroptie. Daarnaast bevat de nalevingsstandaard beheeropties die op dit moment nog niet worden beschreven door Azure Policy-definities. Daarom is naleving in Azure Policy slechts een gedeeltelijke weergave van uw algemene nalevingsstatus. De koppelingen tussen de beheeropties voor nalevingsdomeinen en Azure Policy definities voor deze nalevingsstandaard kunnen na verloop van tijd veranderen. Als u de wijzigingsgeschiedenis wilt bekijken, raadpleegt u de GitHub Commit-geschiedenis.

1 Identiteits- en toegangsbeheer

Controleren of meervoudige verificatie is ingeschakeld voor alle bevoegde gebruikers

Id: Aanbeveling 1.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met eigenaarsmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met eigenaarsmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Accounts met schrijfmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met schrijfmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0

Id: Aanbeveling 1.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Gebruikers kunnen toepassingen registreren' is ingesteld op Nee

Id: Aanbeveling 1.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Machtigingen voor gastgebruikers zijn beperkt' is ingesteld op Ja

Id: Aanbeveling 1.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Een model voor toegangsbeheer ontwerpen CMA_0129 - Een model voor toegangsbeheer ontwerpen Handmatig, uitgeschakeld 1.1.0
Minimale toegang tot bevoegdheden gebruiken CMA_0212 - Toegang tot minimale bevoegdheden gebruiken Handmatig, uitgeschakeld 1.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Leden kunnen uitnodigen' is ingesteld op Nee

Id: Aanbeveling 1.13 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Een model voor toegangsbeheer ontwerpen CMA_0129 - Een model voor toegangsbeheer ontwerpen Handmatig, uitgeschakeld 1.1.0
Minimale toegang tot bevoegdheden gebruiken CMA_0212 - Toegang tot minimale bevoegdheden gebruiken Handmatig, uitgeschakeld 1.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Gasten kunnen uitnodigen' is ingesteld op Nee

Id: Aanbeveling 1.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Een model voor toegangsbeheer ontwerpen CMA_0129 - Een model voor toegangsbeheer ontwerpen Handmatig, uitgeschakeld 1.1.0
Minimale toegang tot bevoegdheden gebruiken CMA_0212 - Toegang tot minimale bevoegdheden gebruiken Handmatig, uitgeschakeld 1.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Toegang tot de Azure AD-beheerportal beperken' is ingesteld op Ja

Id: Aanbeveling 1.15 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Gebruikerstoegang tot groepsfuncties in het toegangsvenster beperken' is ingesteld op Nee

Id: Aanbeveling 1.16 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Gebruikers kunnen beveiligingsgroepen maken in Azure Portals' is ingesteld op Nee

Id: Aanbeveling 1.17 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Eigenaren kunnen groepslidmaatschapsaanvragen beheren in de Toegangsvenster' is ingesteld op Nee

Id: Aanbeveling 1.18 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Gebruikers kunnen Microsoft 365-groepen maken in Azure Portals' is ingesteld op Nee

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.19: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Controleren of meervoudige verificatie is ingeschakeld voor alle onbevoegde gebruikers

Id: Aanbeveling 1.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accounts met leesmachtigingen voor Azure-resources moeten MFA zijn ingeschakeld Schakel meervoudige verificatie (MFA) in voor alle abonnementsaccounts met leesmachtigingen om te voorkomen dat er inbreuk wordt gepleegd op accounts of resources. AuditIfNotExists, uitgeschakeld 1.0.0
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Multi-Factor Authentication vereisen om apparaten te koppelen' is ingesteld op Ja

Id: Aanbeveling 1.20 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0
Externe toegang autoriseren CMA_0024 - Externe toegang autoriseren Handmatig, uitgeschakeld 1.1.0
Training voor documentmobiliteit CMA_0191 - Training voor documentmobiliteit Handmatig, uitgeschakeld 1.1.0
Richtlijnen voor externe toegang document CMA_0196 - Richtlijnen voor externe toegang document Handmatig, uitgeschakeld 1.1.0
Netwerkapparaten identificeren en verifiëren CMA_0296 - Netwerkapparaten identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen Handmatig, uitgeschakeld 1.1.0
Privacytraining bieden CMA_0415 - Privacytraining bieden Handmatig, uitgeschakeld 1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens Handmatig, uitgeschakeld 1.1.0

Controleren of er geen aangepaste rollen voor abonnementseigenaren zijn gemaakt

Id: Aanbeveling 1.21 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Een model voor toegangsbeheer ontwerpen CMA_0129 - Een model voor toegangsbeheer ontwerpen Handmatig, uitgeschakeld 1.1.0
Minimale toegang tot bevoegdheden gebruiken CMA_0212 - Toegang tot minimale bevoegdheden gebruiken Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Controleren of standaardinstellingen voor beveiliging zijn ingeschakeld in Azure Active Directory

Id: Aanbeveling 1.22 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0
Verifiëren bij cryptografische module CMA_0021 - Verifiëren bij cryptografische module Handmatig, uitgeschakeld 1.1.0
Externe toegang autoriseren CMA_0024 - Externe toegang autoriseren Handmatig, uitgeschakeld 1.1.0
Training voor documentmobiliteit CMA_0191 - Training voor documentmobiliteit Handmatig, uitgeschakeld 1.1.0
Richtlijnen voor externe toegang document CMA_0196 - Richtlijnen voor externe toegang document Handmatig, uitgeschakeld 1.1.0
Netwerkapparaten identificeren en verifiëren CMA_0296 - Netwerkapparaten identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alternatieve werksites te beveiligen CMA_0315 - Besturingselementen implementeren om alternatieve werksites te beveiligen Handmatig, uitgeschakeld 1.1.0
Privacytraining bieden CMA_0415 - Privacytraining bieden Handmatig, uitgeschakeld 1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat aangepaste rol is toegewezen voor Beheer istering resourcevergrendelingen

Id: Aanbeveling 1.23 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat gastgebruikers maandelijks worden beoordeeld

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 1.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Gastaccounts met eigenaarsmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met eigenaarsmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met leesmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met leesmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gastaccounts met schrijfmachtigingen voor Azure-resources moeten worden verwijderd Externe accounts met schrijfmachtigingen moeten worden verwijderd uit uw abonnement om onbewaakte toegang te voorkomen. AuditIfNotExists, uitgeschakeld 1.0.0
Gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen CMA_C1040 : gebruikersbevoegdheden indien nodig opnieuw toewijzen of verwijderen Handmatig, uitgeschakeld 1.1.0
Accountinrichtingslogboeken controleren CMA_0460 - Accountinrichtingslogboeken controleren Handmatig, uitgeschakeld 1.1.0
Gebruikersaccounts controleren CMA_0480 - Gebruikersaccounts controleren Handmatig, uitgeschakeld 1.1.0
Gebruikersbevoegdheden controleren CMA_C1039 - Gebruikersbevoegdheden controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen' is uitgeschakeld

Id: Aanbeveling 1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Biometrische verificatiemechanismen aannemen CMA_0005 - Biometrische verificatiemechanismen aannemen Handmatig, uitgeschakeld 1.1.0
Netwerkapparaten identificeren en verifiëren CMA_0296 - Netwerkapparaten identificeren en verifiëren Handmatig, uitgeschakeld 1.1.0
Voldoen aan de kwaliteitsvereisten voor tokens CMA_0487 - Voldoen aan de kwaliteitsvereisten voor tokens Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Aantal dagen voordat gebruikers wordt gevraagd om hun verificatiegegevens opnieuw te bevestigen' niet is ingesteld op '0'

Id: Aanbeveling 1.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat gebruikers op de hoogte worden gesteld van het opnieuw instellen van wachtwoorden? is ingesteld op Ja

Id: Aanbeveling 1.7 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Training implementeren voor het beveiligen van verificators CMA_0329 - Training implementeren voor het beveiligen van verificators Handmatig, uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Alle beheerders waarschuwen wanneer andere beheerders hun wachtwoord opnieuw instellen?' is ingesteld op Ja

Id: Aanbeveling 1.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Training implementeren voor het beveiligen van verificators CMA_0329 - Training implementeren voor het beveiligen van verificators Handmatig, uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Bevoorrechte roltoewijzing bewaken CMA_0378 - Bevoorrechte roltoewijzing bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0
Toegang tot bevoegde accounts beperken CMA_0446 - Toegang tot bevoegde accounts beperken Handmatig, uitgeschakeld 1.1.0
Bevoorrechte rollen intrekken, indien van toepassing CMA_0483 - Bevoegde rollen intrekken, indien van toepassing Handmatig, uitgeschakeld 1.1.0
Privileged Identity Management gebruiken CMA_0533 - Privileged Identity Management gebruiken Handmatig, uitgeschakeld 1.1.0

Id: Aanbeveling 1.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0

2 Security Center

Zorg ervoor dat Azure Defender is ingesteld op Aan voor servers

Id: Aanbeveling 2.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor servers moet zijn ingeschakeld Azure Defender voor servers biedt realtime beveiliging tegen bedreigingen voor serverworkloads. Ook worden aanbevelingen voor bescherming en waarschuwingen over verdachte activiteiten gegenereerd. AuditIfNotExists, uitgeschakeld 1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de integratie van Microsoft Cloud App Security (MCAS) met Security Center is geselecteerd

Id: Aanbeveling 2.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg dat 'Automatische inrichting van bewakingsagent' is ingesteld op 'ingeschakeld'

Id: Aanbeveling 2.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Automatisch inrichten van de Log Analytics-agent moet zijn ingeschakeld voor uw abonnement Om te controleren op beveiligingsproblemen en bedreigingen verzamelt Azure Security Center gegevens van uw Azure-VM's. De gegevens worden verzameld met behulp van de Log Analytics-agent, voorheen bekend als de Microsoft Monitoring Agent (MMA), die verschillende configuraties en gebeurtenislogboeken met betrekking tot beveiliging van de machine leest en de gegevens kopieert naar uw Log Analytics-werkruimte voor analyse. U wordt aangeraden automatische inrichting in te schakelen om de agent automatisch te implementeren op alle ondersteunde Azure-VM‘s en eventuele nieuwe virtuele machines die worden gemaakt. AuditIfNotExists, uitgeschakeld 1.0.1
Documentbeveiligingsbewerkingen CMA_0202 - Documentbeveiligingsbewerkingen Handmatig, uitgeschakeld 1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat een van de standaardbeleidsinstelling voor ASC niet is ingesteld op Uitgeschakeld

Id: Aanbeveling 2.12 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Acties configureren voor niet-compatibele apparaten CMA_0062 - Acties configureren voor niet-compatibele apparaten Handmatig, uitgeschakeld 1.1.0
Basislijnconfiguraties ontwikkelen en onderhouden CMA_0153 : basislijnconfiguraties ontwikkelen en onderhouden Handmatig, uitgeschakeld 1.1.0
Beveiligingsconfiguratie-instellingen afdwingen CMA_0249 - Beveiligingsconfiguratie-instellingen afdwingen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerbord instellen CMA_0254 - Een configuratiebeheerbord instellen Handmatig, uitgeschakeld 1.1.0
Een configuratiebeheerplan instellen en documenteer CMA_0264 - Een configuratiebeheerplan maken en documenteer Handmatig, uitgeschakeld 1.1.0
Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren CMA_0311 - Een geautomatiseerd hulpprogramma voor configuratiebeheer implementeren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat 'Aanvullende e-mailadressen' is geconfigureerd met een e-mail met een beveiligingscontactpersoon

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.13: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Abonnementen moeten een e-mailadres van contactpersonen voor beveiligingsproblemen bevatten Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, moet u een veiligheidscontact instellen die e-mailmeldingen van Security Center ontvangt. AuditIfNotExists, uitgeschakeld 1.0.1

Zorg ervoor dat 'Waarschuwen over waarschuwingen met de volgende ernst' is ingesteld op 'Hoog'

Id: Aanbeveling 2.14 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
E-mailmelding voor waarschuwingen met hoge urgentie moet zijn ingeschakeld Om ervoor te zorgen dat de relevante personen in uw organisatie worden gewaarschuwd wanneer er sprake is van een mogelijke schending van de beveiliging in een van uw abonnementen, kunt u e-mailmeldingen inschakelen voor waarschuwingen met hoge urgentie in Security Center. AuditIfNotExists, uitgeschakeld 1.0.1

Zorg ervoor dat Azure Defender is ingesteld op Aan voor App Service

Id: Aanbeveling 2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor App Service moet zijn ingeschakeld Azure Defender voor App Service maakt gebruik van de schaal van de cloud en de zichtbaarheid die Azure als cloudprovider heeft om te controleren op veelvoorkomende aanvallen op web-apps. AuditIfNotExists, uitgeschakeld 1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor Azure SQL-databaseservers

Id: Aanbeveling 2.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Azure SQL-databaseservers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor SQL-servers op computers

Id: Aanbeveling 2.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor SQL-servers moet zijn ingeschakeld Azure Defender voor SQL biedt functionaliteit voor het opsporen en verhelpen van mogelijke databasebeveiligingsproblemen, het detecteren van afwijkende activiteiten die kunnen duiden op een bedreiging voor uw SQL-database en het detecteren en classificeren van gevoelige gegevens. AuditIfNotExists, uitgeschakeld 1.0.2
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor Opslag

Id: Aanbeveling 2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor Storage moet zijn ingeschakeld Microsoft Defender voor Storage detecteert mogelijke bedreigingen voor uw opslagaccounts. Hiermee voorkomt u de drie belangrijkste gevolgen voor uw gegevens en workload: schadelijke bestandsuploads, exfiltratie van gevoelige gegevens en beschadiging van gegevens. Het nieuwe Defender for Storage-plan omvat malwarescans en detectie van gevoelige gegevensrisico's. Dit plan biedt ook een voorspelbare prijsstructuur (per opslagaccount) voor controle over dekking en kosten. AuditIfNotExists, uitgeschakeld 1.0.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor Kubernetes

Id: Aanbeveling 2.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor containerregisters

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.7: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Microsoft Defender voor containers moet zijn ingeschakeld Microsoft Defender for Containers biedt beveiliging tegen beveiligingsproblemen, evaluatie van beveiligingsproblemen en runtimebeveiligingen voor uw Azure-, hybride en multi-cloud Kubernetes-omgevingen. AuditIfNotExists, uitgeschakeld 1.0.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure Defender is ingesteld op Aan voor Key Vault

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 2.8: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor Key Vault moet zijn ingeschakeld Azure Defender voor Key Vault biedt een extra beschermlaag en beveiligingsinformatie die ongebruikelijke en mogelijk schadelijke pogingen detecteren voor toegang tot of het aanvallen van Key Vault-accounts. AuditIfNotExists, uitgeschakeld 1.0.3
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Windows Defender ATP -integratie (WDATP) met Security Center is geselecteerd

Id: Aanbeveling 2.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd CMA_C1700 - Netwerkservices detecteren die niet zijn geautoriseerd of goedgekeurd Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0

3 Opslagaccounts

Controleren of 'beveiligde overdracht vereist' is ingesteld op 'ingeschakeld'

Id: Aanbeveling 3.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0
Beveiligde overdracht naar opslagaccounts moet zijn ingeschakeld Controleer de vereiste van beveiligde overdracht in uw opslagaccount. Beveiligde overdracht is een optie die afdwingt dat uw opslagaccount alleen aanvragen van beveiligde verbindingen (HTTPS) accepteert. Het gebruik van HTTPS zorgt voor verificatie tussen de server en de service en beveiligt gegevens tijdens de overdracht tegen netwerklaagaanvallen, zoals man-in-the-middle, meeluisteren en sessie-hijacking Controleren, Weigeren, Uitgeschakeld 2.0.0

Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor Blob-service voor lees-, schrijf- en verwijderaanvragen

Id: Aanbeveling 3.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat logboekregistratie van opslag is ingeschakeld voor Table-service voor lees-, schrijf- en verwijderaanvragen

Id: Aanbeveling 3.11 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat toegangssleutels voor opslagaccounts periodiek opnieuw worden gegenereerd

Id: Aanbeveling 3.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren Handmatig, uitgeschakeld 1.1.0
Assertievereisten bepalen CMA_0136 - Assertievereisten bepalen Handmatig, uitgeschakeld 1.1.0
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0
Symmetrische cryptografische sleutels beheren CMA_0367 - Symmetrische cryptografische sleutels beheren Handmatig, uitgeschakeld 1.1.0
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat opslaglogboekregistratie is ingeschakeld voor queue-service voor lees-, schrijf- en verwijderaanvragen

Id: eigendom van CIS Microsoft Azure Foundations Benchmark 3.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat handtekeningentokens voor gedeelde toegang binnen een uur verlopen

Id: Aanbeveling 3.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Verificators uitschakelen na beëindiging CMA_0169 - Verificators uitschakelen na beëindiging Handmatig, uitgeschakeld 1.1.0
Bevoorrechte rollen intrekken, indien van toepassing CMA_0483 - Bevoegde rollen intrekken, indien van toepassing Handmatig, uitgeschakeld 1.1.0
Gebruikerssessie automatisch beëindigen CMA_C1054 - Gebruikerssessie automatisch beëindigen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat openbaar toegangsniveau is ingesteld op Privé voor blobcontainers

Id: Aanbeveling 3.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 3.1.0-preview
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

Controleren of de standaardregel voor netwerktoegang voor opslagaccounts is ingesteld op weigeren

Id: Aanbeveling 3.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Netwerktoegang tot opslagaccounts moet zijn beperkt Netwerktoegang tot opslagaccounts moet worden beperkt. Configureer netwerkregels zo dat alleen toepassingen van toegestane netwerken toegang hebben tot het opslagaccount. Om verbindingen van specifieke internet- of on-premises clients toe te staan, kan toegang worden verleend aan verkeer van specifieke virtuele Azure-netwerken of aan openbare IP-adresbereiken voor internet Controleren, Weigeren, Uitgeschakeld 1.1.1
Opslagaccounts moeten netwerktoegang beperken met behulp van regels voor virtuele netwerken Bescherm uw opslagaccounts tegen mogelijke dreigingen met regels voor virtuele netwerken als voorkeursmethode, in plaats van filteren op basis van IP-adressen. Als u filteren basis van IP-adressen niet toestaat, hebben openbare IP-adressen geen toegang tot uw opslagaccounts. Controleren, Weigeren, Uitgeschakeld 1.0.1

Controleren of vertrouwde Microsoft-services zijn ingeschakeld voor toegang tot het opslagaccount

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 3.7: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiestroom beheren CMA_0079 - Informatiestroom beheren Handmatig, uitgeschakeld 1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken Handmatig, uitgeschakeld 1.1.0
Configuratiestandaarden voor firewall en router instellen CMA_0272 - Configuratiestandaarden voor firewall en router instellen Handmatig, uitgeschakeld 1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder Handmatig, uitgeschakeld 1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren Handmatig, uitgeschakeld 1.1.0
Opslagaccounts moeten toegang uit vertrouwde Microsoft-services toestaan Sommige Microsoft-services die communiceren met opslagaccounts, werken vanuit netwerken waaraan geen toegang kan worden verleend via netwerkregels. Om dit type service goed te laten werken, moet u de set vertrouwde Microsoft-services toestaan om de netwerkregels over te slaan. Deze services gebruiken vervolgens sterke verificatie om toegang te krijgen tot het opslagaccount. Controleren, Weigeren, Uitgeschakeld 1.0.0

Ervoor zorgen dat opslag voor kritieke gegevens is versleuteld met door de klant beheerde sleutel

Id: Aanbeveling 3.9 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0
Opslagaccounts moeten door de klant beheerde sleutel gebruiken voor versleuteling Beveilig uw blob- en bestandsopslagaccount met meer flexibiliteit met behulp van door de klant beheerde sleutels. Wanneer u een door klant beheerde sleutel opgeeft, wordt die sleutel gebruikt voor het beveiligen en beheren van de toegang tot de sleutel waarmee uw gegevens worden versleuteld. Het gebruik van door de klant beheerde sleutels biedt extra mogelijkheden om de rotatie van de sleutelversleutelingssleutel te beheren of gegevens cryptografisch te wissen. Controle, uitgeschakeld 1.0.3

4 Database Services

Controleren of 'Controle' is ingesteld op 'Aan'

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.1.1: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controle op SQL Server moet zijn ingeschakeld Controle op uw SQL Server moet zijn ingeschakeld om database-activiteiten te volgen voor alle databases op de server en deze op te slaan in een auditlogboek. AuditIfNotExists, uitgeschakeld 2.0.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Controleren of 'gegevensversleuteling' is ingesteld op 'ingeschakeld' op een SQL Database

Id: Aanbeveling 4.1.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0
Transparent Data Encryption in SQL-databases moet zijn ingeschakeld Transparante gegevensversleuteling moet zijn ingeschakeld om data-at-rest te beveiligen en te voldoen aan de nalevingsvereisten AuditIfNotExists, uitgeschakeld 2.0.0

Controleren of de bewaarperiode van de 'Controle' 'groter is dan 90 dagen'

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.1.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden Handmatig, uitgeschakeld 1.1.0
Controleverwerkingsactiviteiten beheren en bewaken CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken Handmatig, uitgeschakeld 1.1.0
Beveiligingsbeleid en -procedures behouden CMA_0454 - Beveiligingsbeleid en -procedures behouden Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0
SQL-servers met controle naar opslagaccountbestemming moeten worden geconfigureerd met een bewaarperiode van 90 dagen of hoger Voor onderzoeksdoeleinden voor incidenten raden we u aan om de gegevensretentie voor de controle van uw SQL Server in te stellen op de bestemming van het opslagaccount tot ten minste 90 dagen. Controleer of u voldoet aan de benodigde bewaarregels voor de regio's waarin u werkt. Dit is soms vereist voor naleving van regelgevingsstandaarden. AuditIfNotExists, uitgeschakeld 3.0.0

Zorg ervoor dat Advanced Threat Protection (ATP) op een SQL-server is ingesteld op Ingeschakeld

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.2.1: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde Azure SQL-servers SQL-servers zonder Advanced Data Security controleren AuditIfNotExists, uitgeschakeld 2.0.1
Azure Defender voor SQL moet zijn ingeschakeld voor niet-beveiligde SQL Managed Instances Controleer elke SQL Managed Instance zonder Advanced Data Security. AuditIfNotExists, uitgeschakeld 1.0.2
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Evaluatie van beveiligingsproblemen (VA) is ingeschakeld op een SQL-server door een opslagaccount in te stellen

Id: Aanbeveling 4.2.2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
Evaluatie van beveiligingsproblemen moet zijn ingeschakeld voor SQL Managed Instance Controleer elke SQL Managed Instance waarvoor geen terugkerende evaluatie van beveiligingsproblemen is ingeschakeld. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 1.0.1
De evaluatie van beveiligingsproblemen moet worden ingeschakeld op uw SQL-servers Controleer Azure SQL-servers waarvoor de evaluatie van beveiligingsproblemen niet juist is geconfigureerd. Met een evaluatie van beveiligingsproblemen kunt u potentiële beveiligingsproblemen van de database detecteren, bijhouden en herstellen. AuditIfNotExists, uitgeschakeld 3.0.0

Zorg ervoor dat de VA-instelling Periodieke terugkerende scans is ingeschakeld op een SQL-server

Id: Aanbeveling 4.2.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de VA-instelling Scanrapporten verzenden is geconfigureerd voor een SQL-server

Id: Aanbeveling 4.2.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Scangegevens voor beveiligingsproblemen correleren CMA_C1558 - Scangegevens voor beveiligingsproblemen correleren Handmatig, uitgeschakeld 1.1.1
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de VA-instelling 'Ook e-mailmeldingen verzenden naar beheerders en abonnementseigenaren' is ingesteld voor een SQL-server

Id: Aanbeveling 4.2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Scangegevens voor beveiligingsproblemen correleren CMA_C1558 - Scangegevens voor beveiligingsproblemen correleren Handmatig, uitgeschakeld 1.1.1
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op ‘INGESCHAKELD’ voor PostgreSQL-databaseservers

Id: Aanbeveling 4.3.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor PostgreSQL-databaseservers Azure Database for PostgreSQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for PostgreSQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Controleren of ‘SSL-verbinding afdwingen’ is ingesteld op "INGESCHAKELD" voor MySQL-databaseserver

Id: Aanbeveling 4.3.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
SSL-verbinding afdwingen moet worden ingeschakeld voor MySQL-databaseservers Azure Database for MySQL biedt ondersteuning voor het gebruik van Secure Sockets Layer (SSL) om uw Azure Database for MySQL-server te verbinden met clienttoepassingen. Het afdwingen van SSL-verbindingen tussen uw databaseserver en clienttoepassingen zorgt dat u bent beschermt tegen 'man in the middle'-aanvallen omdat de gegevensstroom tussen de server en uw toepassing wordt versleuteld. Deze configuratie dwingt af dat SSL altijd is ingeschakeld voor toegang tot uw databaseserver. Controle, uitgeschakeld 1.0.1
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Controleren of de serverparameter ‘log_checkpoints’ is ingesteld op AAN voor PostgreSQL-databaseserver

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.3.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Logboekcontrolepunten moeten zijn ingeschakeld voor PostgreSQL-databaseservers Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_checkpoints hoeven te worden ingeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Controleren of de serverparameter ‘log_connections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Logboekverbindingen moeten zijn ingeschakeld voor PostgreSQL-databaseservers Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_connections hoeven te worden ingeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Controleren of dat de serverparameter ‘log_disconnections’ is ingesteld op ‘AAN’ voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.5 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Verbroken verbindingen moeten in een logboek worden vastgelegd voor PostgreSQL-databaseservers. Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er log_disconnections hoeven te worden ingeschakeld. AuditIfNotExists, uitgeschakeld 1.0.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Controleren of de serverparameter ‘connection_throttling’ is ingesteld op ‘AAN" voor PostgreSQL-databaseserver

Id: Aanbeveling 4.3.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Verbinding beperken moet worden ingeschakeld voor PostgreSQL-databaseservers Dit beleid helpt bij het controleren van alle PostgreSQL-databases in uw omgeving zonder dat er verbindingsbeperking hoeft te worden ingeschakeld. Met deze instelling schakelt u tijdelijke beperking van de verbinding per IP in voor te veel ongeldige wachtwoordaanmeldingen. AuditIfNotExists, uitgeschakeld 1.0.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de serverparameter 'log_retention_days' langer is dan 3 dagen voor PostgreSQL-databaseserver

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 4.3.7: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden Handmatig, uitgeschakeld 1.1.0
Controleverwerkingsactiviteiten beheren en bewaken CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken Handmatig, uitgeschakeld 1.1.0
Beveiligingsbeleid en -procedures behouden CMA_0454 - Beveiligingsbeleid en -procedures behouden Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Toegang tot Azure-services toestaan voor PostgreSQL Database Server is uitgeschakeld

Id: Aanbeveling 4.3.8 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiestroom beheren CMA_0079 - Informatiestroom beheren Handmatig, uitgeschakeld 1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken Handmatig, uitgeschakeld 1.1.0
Configuratiestandaarden voor firewall en router instellen CMA_0272 - Configuratiestandaarden voor firewall en router instellen Handmatig, uitgeschakeld 1.1.0
Netwerksegmentatie instellen voor kaarthoudergegevensomgeving CMA_0273 - Netwerksegmentatie instellen voor de gegevensomgeving van de kaarthouder Handmatig, uitgeschakeld 1.1.0
Downstreaminformatie-uitwisselingen identificeren en beheren CMA_0298 : downstreaminformatieuitwisseling identificeren en beheren Handmatig, uitgeschakeld 1.1.0

Controleren of Azure Active Directory-beheerder is geconfigureerd

Id: Aanbeveling 4.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een Azure Active Directory-beheerder moet worden ingericht voor SQL-servers Controleer inrichting van een Azure Active Directory-beheerder voor uw SQL-Server om Azure AD-verificatie in te schakelen. Azure AD-verificatie maakt vereenvoudigd beheer van machtigingen en gecentraliseerd identiteitsbeheer van databasegebruikers en andere Microsoft-services mogelijk AuditIfNotExists, uitgeschakeld 1.0.0
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de TDE-beveiliging van DE SQL-server is versleuteld met door de klant beheerde sleutel

Id: aanbeveling 4.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0
Voor met SQL beheerde exemplaren moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt u verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.0
Voor SQL Server moeten door de klant beheerde sleutels worden gebruikt voor het versleutelen van data-at-rest TDE (Transparent Data Encryption) implementeren met uw eigen sleutel biedt verbeterde transparantie en controle voor TDE-beveiliging, verbeterde beveiliging via een externe service met HSM, en bevordering van scheiding van taken. Deze aanbeveling is van toepassing op organisaties met een gerelateerde nalevingsvereiste. Controleren, Weigeren, Uitgeschakeld 2.0.1

5 Logboekregistratie en bewaking

Zorg ervoor dat er een diagnostische instelling bestaat

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.1.1: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de diagnostische instelling de juiste categorieën vastlegt

Id: Aanbeveling 5.1.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de opslagcontainer die de activiteitenlogboeken opslaat, niet openbaar toegankelijk is

Id: Aanbeveling 5.1.3 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Preview]: openbare toegang tot opslagaccounts moet niet zijn toegestaan Anonieme openbare leestoegang tot containers en blobs in Azure Storage is een handige manier om gegevens te delen, maar kan ook beveiligingsrisico's opleveren. Om schendingen van gegevens door ongewenste anonieme toegang te voorkomen, wordt aangeraden openbare toegang tot een opslagaccount te verhinderen, tenzij dit vereist is voor uw scenario. controleren, controleren, weigeren, weigeren, uitgeschakeld, uitgeschakeld 3.1.0-preview
Dubbele of gezamenlijke autorisatie inschakelen CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen Handmatig, uitgeschakeld 1.1.0
Controlegegevens beveiligen CMA_0401 - Controlegegevens beveiligen Handmatig, uitgeschakeld 1.1.0

Controleren of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK (Uw eigen sleutel gebruiken)

Id: Aanbeveling 5.1.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Dubbele of gezamenlijke autorisatie inschakelen CMA_0226 - Dubbele of gezamenlijke autorisatie inschakelen Handmatig, uitgeschakeld 1.1.0
Integriteit van controlesysteem behouden CMA_C1133 - Integriteit van controlesysteem behouden Handmatig, uitgeschakeld 1.1.0
Controlegegevens beveiligen CMA_0401 - Controlegegevens beveiligen Handmatig, uitgeschakeld 1.1.0
Het opslagaccount met de container met activiteitenlogboeken moet worden versleuteld met BYOK Dit beleid controleert of het opslagaccount met de container met activiteitenlogboeken is versleuteld met BYOK. Het beleid werkt alleen als het opslagaccount is gebaseerd op hetzelfde abonnement als voor activiteitenlogboeken. Meer informatie over Azure Storage-versleuteling in rust vindt u hier https://aka.ms/azurestoragebyok. AuditIfNotExists, uitgeschakeld 1.0.0

Controleren of logboekregistratie van Azure-sleutelkluis is 'ingeschakeld'

Id: Aanbeveling 5.1.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor een activiteitenlogboek bestaat voor het maken van beleidstoewijzing

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.1: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 3.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van beleidstoewijzing

Id: Aanbeveling 5.2.2.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beleidsbewerkingen Met dit beleid worden specifieke beleidsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 3.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een netwerkbeveiligingsgroep

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van een netwerkbeveiligingsgroep

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.4: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een regel voor netwerkbeveiligingsgroep

Id: Aanbeveling 5.2.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van de regel voor de netwerkbeveiligingsgroep

Id: Aanbeveling 5.2.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van een beveiligingsoplossing

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.7: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het verwijderen van de beveiligingsoplossing

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.8: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beveiligingsbewerkingen Met dit beleid worden specifieke beveiligingsbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Controleren of er een waarschuwing voor activiteitenlogboek bestaat voor het maken of bijwerken van Firewallregels voor SQL-server

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 5.2.9: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Waarschuwingspersoneel bij overloop van informatie CMA_0007 - Waarschuwingspersoneel bij overloop van informatie Handmatig, uitgeschakeld 1.1.0
Er moet een waarschuwing voor activiteitenlogboeken bestaan voor specifieke beheerbewerkingen Met dit beleid worden specifieke beheerbewerkingen gecontroleerd waarvoor geen waarschuwingen voor activiteitenlogboeken zijn geconfigureerd. AuditIfNotExists, uitgeschakeld 1.0.0
Een plan voor het reageren op incidenten ontwikkelen CMA_0145 - Een plan voor het reageren op incidenten ontwikkelen Handmatig, uitgeschakeld 1.1.0
Geautomatiseerde meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie CMA_0495 - Automatische meldingen instellen voor nieuwe en trending cloudtoepassingen in uw organisatie Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat diagnostische logboeken zijn ingeschakeld voor alle services die deze ondersteunen.

Id: eigendom van CIS Microsoft Azure Foundations Benchmark 5.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden Handmatig, uitgeschakeld 1.1.0
App Service-apps moeten resourcelogboeken hebben ingeschakeld Controleer het inschakelen van resourcelogboeken in de app. Hierdoor kunt u activiteitenpaden opnieuw maken voor onderzoeksdoeleinden als er een beveiligingsincident optreedt of uw netwerk is aangetast. AuditIfNotExists, uitgeschakeld 2.0.1
Bevoegde functies controleren CMA_0019 - Bevoegde functies controleren Handmatig, uitgeschakeld 1.1.0
Status van gebruikersaccount controleren CMA_0020 - Status van gebruikersaccount controleren Handmatig, uitgeschakeld 1.1.0
Mogelijkheden voor Azure Audit configureren CMA_C1108 - Mogelijkheden voor Azure Audit configureren Handmatig, uitgeschakeld 1.1.1
Controleerbare gebeurtenissen bepalen CMA_0137 - Controleerbare gebeurtenissen bepalen Handmatig, uitgeschakeld 1.1.0
Controleverwerkingsactiviteiten beheren en bewaken CMA_0289 - Verwerkingsactiviteiten voor controles beheren en bewaken Handmatig, uitgeschakeld 1.1.0
Resourcelogboeken in Azure Data Lake Store moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Azure Stream Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Batch-accounts moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Data Lake Analytics moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Event Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in IoT Hub moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 3.1.0
Resourcelogboeken in Key Vault moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Logic Apps moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.1.0
Resourcelogboeken in Search-service s moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Resourcelogboeken in Service Bus moeten zijn ingeschakeld Het inschakelen van resourcelogboeken controleren. Hiermee kunt u een activiteitenspoor opnieuw maken om te gebruiken voor onderzoeksdoeleinden wanneer een beveiligingsincident optreedt of wanneer uw netwerk is aangetast AuditIfNotExists, uitgeschakeld 5.0.0
Beveiligingsbeleid en -procedures behouden CMA_0454 - Beveiligingsbeleid en -procedures behouden Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0
Controlegegevens controleren CMA_0466 - Controlegegevens controleren Handmatig, uitgeschakeld 1.1.0

6 Netwerken

Zorg ervoor dat geen TOEGANGsbeheerobject 0.0.0.0/0 (ANY IP) is toegestaan in SQL Databases

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 6.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Informatiestroom beheren CMA_0079 - Informatiestroom beheren Handmatig, uitgeschakeld 1.1.0
Mechanismen voor stroombeheer van versleutelde informatie gebruiken CMA_0211 - Mechanismen voor stroombeheer van versleutelde informatie gebruiken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de bewaarperiode voor stroomlogboeken voor netwerkbeveiligingsgroepen 'langer dan 90 dagen' is

Id: Aanbeveling 6.4 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voldoen aan de retentieperioden die zijn gedefinieerd CMA_0004 - Voldoen aan de gedefinieerde bewaarperioden Handmatig, uitgeschakeld 1.1.0
Beveiligingsbeleid en -procedures behouden CMA_0454 - Beveiligingsbeleid en -procedures behouden Handmatig, uitgeschakeld 1.1.0
Beëindigde gebruikersgegevens behouden CMA_0455 - Beëindigde gebruikersgegevens behouden Handmatig, uitgeschakeld 1.1.0

Controleren of Network Watcher is 'ingeschakeld'

Id: AANBEVELING 6.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Network Watcher moet zijn ingeschakeld Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Het is vereist dat er een network watcher-resourcegroep moet worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er is een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio. AuditIfNotExists, uitgeschakeld 3.0.0
Beveiligingsfuncties controleren CMA_C1708 - Beveiligingsfuncties controleren Handmatig, uitgeschakeld 1.1.0

7 Virtuele machines

Controleren of virtuele machines gebruikmaken van beheerde schijven

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 7.1: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Controleer virtuele machines die niet gebruikmaken van beheerde schijven Dit beleid controleert virtuele machines die niet gebruikmaken van beheerde schijven controleren 1.0.0
Fysieke toegang beheren CMA_0081 - Fysieke toegang beheren Handmatig, uitgeschakeld 1.1.0
De invoer, uitvoer, verwerking en opslag van gegevens beheren CMA_0369 - De invoer, uitvoer, verwerking en opslag van gegevens beheren Handmatig, uitgeschakeld 1.1.0
Labelactiviteit en -analyse controleren CMA_0474 - Labelactiviteit en -analyse controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat besturingssysteem- en gegevensschijven zijn versleuteld met CMK

Id: Aanbeveling 7.2 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0
Virtuele machines moeten tijdelijke schijven, caches en gegevensstromen tussen reken- en opslagresources versleutelen Standaard worden het besturingssysteem en de gegevensschijven van een virtuele machine versleuteld at rest met behulp van door het platform beheerde sleutels. Tijdelijke schijven, gegevenscaches en gegevensstromen tussen berekening en opslag worden niet versleuteld. Negeer deze aanbeveling als: 1. met behulp van versleuteling op host of 2. versleuteling aan de serverzijde op Beheerde schijven voldoet aan uw beveiligingsvereisten. Meer informatie in: Versleuteling aan de serverzijde van Azure Disk Storage: https://aka.ms/disksse, Verschillende schijfversleutelingsaanbiedingen: https://aka.ms/diskencryptioncomparison AuditIfNotExists, uitgeschakeld 2.0.3

Zorg ervoor dat niet-gekoppelde schijven zijn versleuteld met CMK

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 7.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0

Controleren of alleen goedgekeurde extensies zijn geïnstalleerd

Id: Aanbeveling 7.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Alleen goedgekeurde VM-extensies mogen worden geïnstalleerd Dit beleid is van toepassing op extensies van virtuele machines die niet zijn goedgekeurd. Controleren, Weigeren, Uitgeschakeld 1.0.0

Controleren of de meest recente besturingssysteempatches voor alle virtuele machines zijn toegepast

Id: Aanbeveling 7.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0
Systeemupdates moeten op uw computers worden geïnstalleerd Ontbrekende beveiligingssysteemupdates op uw servers worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 4.0.0

Controleer of Endpoint Protection voor alle virtuele machines is geïnstalleerd

Id: Aanbeveling 7.6 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB CMA_0050 - Niet-vertrouwde en niet-ondertekende processen blokkeren die worden uitgevoerd vanaf USB Handmatig, uitgeschakeld 1.1.0
Documentbeveiligingsbewerkingen CMA_0202 - Documentbeveiligingsbewerkingen Handmatig, uitgeschakeld 1.1.0
Gateways beheren CMA_0363 - Gateways beheren Handmatig, uitgeschakeld 1.1.0
Ontbrekende eindpuntbeveiliging bewaken in Azure Security Center Servers zonder geïnstalleerde agent voor eindpuntbeveiliging worden als aanbevelingen bewaakt door Azure Security Center AuditIfNotExists, uitgeschakeld 3.0.0
Een trendanalyse uitvoeren op bedreigingen CMA_0389 - Een trendanalyse uitvoeren op bedreigingen Handmatig, uitgeschakeld 1.1.0
Beveiligingsscans uitvoeren CMA_0393 - Beveiligingsscans uitvoeren Handmatig, uitgeschakeld 1.1.0
Rapport malwaredetecties wekelijks bekijken CMA_0475 - Rapport malwaredetecties wekelijks bekijken Handmatig, uitgeschakeld 1.1.0
De status van bedreigingsbeveiliging wekelijks bekijken CMA_0479 - Status van bedreigingsbeveiliging wekelijks controleren Handmatig, uitgeschakeld 1.1.0
Sensoren inschakelen voor eindpuntbeveiligingsoplossing CMA_0514 - Sensoren inschakelen voor eindpuntbeveiligingsoplossing Handmatig, uitgeschakeld 1.1.0
Antivirusdefinities bijwerken CMA_0517 - Antivirusdefinities bijwerken Handmatig, uitgeschakeld 1.1.0
Integriteit van software, firmware en informatie controleren CMA_0542 - Integriteit van software, firmware en informatie controleren Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de VHD's zijn versleuteld

Id: Aanbeveling 7.7 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerprocedure voor gegevenslekken instellen CMA_0255 - Een beheerprocedure voor gegevenslekken instellen Handmatig, uitgeschakeld 1.1.0
Besturingselementen implementeren om alle media te beveiligen CMA_0314 - Besturingselementen implementeren om alle media te beveiligen Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Speciale informatie beveiligen CMA_0409 - Speciale informatie beveiligen Handmatig, uitgeschakeld 1.1.0

8 Andere beveiligingsoverwegingen

Zorg ervoor dat de vervaldatum is ingesteld op alle sleutels

Id: Aanbeveling 8.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren Handmatig, uitgeschakeld 1.1.0
Assertievereisten bepalen CMA_0136 - Assertievereisten bepalen Handmatig, uitgeschakeld 1.1.0
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0
Key Vault-sleutels moeten een vervaldatum hebben Cryptografische sleutels moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Sleutels die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de sleutel te maken. Het wordt aanbevolen vervaldatums voor cryptografische sleutels in te stellen. Controleren, Weigeren, Uitgeschakeld 1.0.2
Symmetrische cryptografische sleutels beheren CMA_0367 - Symmetrische cryptografische sleutels beheren Handmatig, uitgeschakeld 1.1.0
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de vervaldatum is ingesteld voor alle geheimen

Id: Aanbeveling 8.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren Handmatig, uitgeschakeld 1.1.0
Assertievereisten bepalen CMA_0136 - Assertievereisten bepalen Handmatig, uitgeschakeld 1.1.0
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0
Key Vault-geheimen moeten een vervaldatum hebben Geheimen moeten een gedefinieerde vervaldatum hebben en mogen niet permanent zijn. Geheimen die altijd geldig zijn, bieden een potentiële aanvaller meer tijd om misbruik van de geheimen te maken. Het wordt aanbevolen om vervaldatums voor geheimen in te stellen. Controleren, Weigeren, Uitgeschakeld 1.0.2
Symmetrische cryptografische sleutels beheren CMA_0367 - Symmetrische cryptografische sleutels beheren Handmatig, uitgeschakeld 1.1.0
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat resourcevergrendelingen zijn ingesteld voor bedrijfskritieke Azure-resources

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 8.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Processen voor het instellen en wijzigen van documenten CMA_0265 - Processen voor het instellen en wijzigen van documenten Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat de sleutelkluis kan worden hersteld

Id: Aanbeveling 8.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Voor sleutelkluizen moet verwijderingsbeveiliging zijn ingeschakeld Kwaadwillende verwijdering van een sleutelkluis kan leiden tot permanent gegevensverlies. U kunt permanent gegevensverlies voorkomen door beveiliging tegen opschonen en voorlopig verwijderen in te schakelen. Beveiliging tegen leegmaken beschermt u tegen aanvallen van insiders door een verplichte bewaarperiode tijdens voorlopige verwijdering af te dwingen voor sleutelkluizen. Gedurende de periode van voorlopige verwijdering kan niemand binnen uw organisatie of Microsoft uw sleutelkluizen leegmaken. Houd er rekening mee dat sleutelkluizen die na 1 september 2019 zijn gemaakt, standaard voorlopig verwijderen zijn ingeschakeld. Controleren, Weigeren, Uitgeschakeld 2.1.0
Beschikbaarheid van informatie behouden CMA_C1644 - Beschikbaarheid van informatie behouden Handmatig, uitgeschakeld 1.1.0

Op rollen gebaseerd toegangsbeheer (RBAC) inschakelen in Azure Kubernetes Services

Id: Aanbeveling 8.5 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Toegang tot beveiligingsfuncties en -informatie autoriseren CMA_0022 - Toegang tot beveiligingsfuncties en -informatie autoriseren Handmatig, uitgeschakeld 1.1.0
Toegang autoriseren en beheren CMA_0023 - Toegang autoriseren en beheren Handmatig, uitgeschakeld 1.1.0
Op rollen gebaseerd toegangsbeheer van Azure (RBAC) moet worden gebruikt voor Kubernetes Services Als u gedetailleerde filters wilt bieden voor de acties die gebruikers kunnen uitvoeren, gebruikt u Op rollen gebaseerd toegangsbeheer (RBAC) van Azure voor het beheren van machtigingen in Kubernetes Service-clusters en configureert u relevante autorisatiebeleidsregels. Controle, uitgeschakeld 1.0.3
Logische toegang afdwingen CMA_0245 - Logische toegang afdwingen Handmatig, uitgeschakeld 1.1.0
Verplicht en discretionair toegangsbeheerbeleid afdwingen CMA_0246 - Beleid voor verplicht en discretionair toegangsbeheer afdwingen Handmatig, uitgeschakeld 1.1.0
Goedkeuring vereisen voor het maken van een account CMA_0431 - Goedkeuring vereisen voor het maken van accounts Handmatig, uitgeschakeld 1.1.0
Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens CMA_0481 - Gebruikersgroepen en toepassingen controleren met toegang tot gevoelige gegevens Handmatig, uitgeschakeld 1.1.0

9 AppService

Controleren of App Service-verificatie is ingesteld op Azure App Service

Id: Aanbeveling 9.1 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten verificatie hebben ingeschakeld Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de web-app bereiken of die tokens hebben voordat ze de web-app bereiken. AuditIfNotExists, uitgeschakeld 2.0.1
Verifiëren bij cryptografische module CMA_0021 - Verifiëren bij cryptografische module Handmatig, uitgeschakeld 1.1.0
Uniekheid van gebruikers afdwingen CMA_0250 - Uniekheid van gebruikers afdwingen Handmatig, uitgeschakeld 1.1.0
Voor functie-apps moet verificatie zijn ingeschakeld Azure-app serviceverificatie is een functie die kan voorkomen dat anonieme HTTP-aanvragen de functie-app bereiken of die tokens hebben voordat ze de Functie-app bereiken. AuditIfNotExists, uitgeschakeld 3.0.0
Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten CMA_0507 - Persoonlijke verificatiereferenties ondersteunen die zijn uitgegeven door juridische autoriteiten Handmatig, uitgeschakeld 1.1.0

Controleren of FTP-implementaties zijn uitgeschakeld

Id: Aanbeveling 9.10 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
Functie-apps mogen alleen FTPS vereisen FTPS-afdwinging inschakelen voor verbeterde beveiliging. AuditIfNotExists, uitgeschakeld 3.0.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Zorg ervoor dat Azure KeyVaults worden gebruikt om geheimen op te slaan

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.11: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Een beheerproces voor fysieke sleutels definiëren CMA_0115 - Een beheerproces voor fysieke sleutels definiëren Handmatig, uitgeschakeld 1.1.0
Cryptografisch gebruik definiëren CMA_0120 - Cryptografisch gebruik definiëren Handmatig, uitgeschakeld 1.1.0
Organisatievereisten definiëren voor cryptografisch sleutelbeheer CMA_0123 - Organisatievereisten voor cryptografisch sleutelbeheer definiëren Handmatig, uitgeschakeld 1.1.0
Assertievereisten bepalen CMA_0136 - Assertievereisten bepalen Handmatig, uitgeschakeld 1.1.0
Zorg ervoor dat cryptografische mechanismen onder configuratiebeheer vallen CMA_C1199: ervoor zorgen dat cryptografische mechanismen onder configuratiebeheer vallen Handmatig, uitgeschakeld 1.1.0
Certificaten voor openbare sleutels uitgeven CMA_0347 - Openbare-sleutelcertificaten uitgeven Handmatig, uitgeschakeld 1.1.0
Beschikbaarheid van informatie behouden CMA_C1644 - Beschikbaarheid van informatie behouden Handmatig, uitgeschakeld 1.1.0
Symmetrische cryptografische sleutels beheren CMA_0367 - Symmetrische cryptografische sleutels beheren Handmatig, uitgeschakeld 1.1.0
Toegang tot persoonlijke sleutels beperken CMA_0445 - Toegang tot persoonlijke sleutels beperken Handmatig, uitgeschakeld 1.1.0

Controleren of de web-apps alle HTTP-verkeer omleidt naar HTTPS in Azure App Service

Id: Aanbeveling 9.2 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps mogen alleen toegankelijk zijn via HTTPS Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. Controleren, uitgeschakeld, weigeren 4.0.0
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Controleren of voor de web-app de nieuwste versie van TLS-versleuteling wordt gebruikt

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.3: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor App Service-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.0.1
Werkstations configureren om te controleren op digitale certificaten CMA_0073 - Werkstations configureren om te controleren op digitale certificaten Handmatig, uitgeschakeld 1.1.0
Functie-apps moeten de nieuwste TLS-versie gebruiken Regelmatig worden nieuwere versies voor TLS uitgebracht vanwege beveiligingsfouten, bevatten extra functionaliteit en verbeter de snelheid. Voer een upgrade uit naar de nieuwste TLS-versie voor functie-apps om te profiteren van beveiligingsoplossingen, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 2.0.1
Gegevens tijdens overdracht beveiligen met versleuteling CMA_0403 - Gegevens tijdens overdracht beveiligen met behulp van versleuteling Handmatig, uitgeschakeld 1.1.0
Wachtwoorden beveiligen met versleuteling CMA_0408 - Wachtwoorden beveiligen met versleuteling Handmatig, uitgeschakeld 1.1.0

Controleren of de web-app 'Clientcertificaten' (inkomende clientcertificaten) heeft ingesteld op 'Aan'

Id: Aanbeveling 9.4 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
[Afgeschaft]: Voor functie-apps moet 'Clientcertificaten (binnenkomende clientcertificaten)' zijn ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam, omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. Controle, uitgeschakeld 3.1.0 afgeschaft
App Service-apps moeten clientcertificaten (binnenkomende clientcertificaten) hebben ingeschakeld Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients die een geldig certificaat hebben, kunnen de app bereiken. Dit beleid is van toepassing op apps met Http-versie ingesteld op 1.1. AuditIfNotExists, uitgeschakeld 1.0.0
Verifiëren bij cryptografische module CMA_0021 - Verifiëren bij cryptografische module Handmatig, uitgeschakeld 1.1.0

Controleren of registratie in Azure Active Directory is ingeschakeld voor de App Service

Id: AANBEVELING 9.5 Eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Accountbeheer automatiseren CMA_0026 - Accountbeheer automatiseren Handmatig, uitgeschakeld 1.1.0
Functie-apps moeten beheerde identiteiten gebruiken Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging AuditIfNotExists, uitgeschakeld 3.0.0
Systeem- en beheerdersaccounts beheren CMA_0368 - Systeem- en beheerdersaccounts beheren Handmatig, uitgeschakeld 1.1.0
Toegang in de hele organisatie bewaken CMA_0376 - Toegang in de hele organisatie bewaken Handmatig, uitgeschakeld 1.1.0
Waarschuwen wanneer account niet nodig is CMA_0383 - Melden wanneer het account niet nodig is Handmatig, uitgeschakeld 1.1.0

Controleren of de ‘PHP-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

Id: Aanbeveling 9.6 van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Controleren of de ‘Python-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark 9.7: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Controleren of de ‘Java-versie’ de meest recente is, als deze wordt gebruikt om de web-app te openen

Id: Aanbeveling 9.8 eigendom van CIS Microsoft Azure Foundations Benchmark: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Controleren of de HTTP-versie de meest recente is als deze wordt gebruikt om de web-app te openen

Id: Eigendom van CIS Microsoft Azure Foundations Benchmark aanbeveling 9.9: Gedeeld

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
App Service-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Functie-apps moeten de nieuwste HTTP-versie gebruiken Er worden regelmatig nieuwere versies uitgebracht voor HTTP, ofwel vanwege de beveiligingsfouten ofwel om extra functionaliteit toe te voegen. Het gebruik van de nieuwste HTTP-versie voor web-apps wordt aanbevolen om te profiteren van beveiligingsfixes, indien van toepassing, en/of nieuwe functies van de nieuwste versie. AuditIfNotExists, uitgeschakeld 4.0.0
Fouten in het informatiesysteem oplossen CMA_0427 - Fouten in het informatiesysteem herstellen Handmatig, uitgeschakeld 1.1.0

Volgende stappen

Aanvullende artikelen over Azure Policy: