Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta strona jest indeksem Azure Policy wbudowanych definicji zasad związanych z Microsoft Defender dla Chmury. Dostępne są następujące grupy definicji zasad:
- Grupa initiatives zawiera listę definicji inicjatywy Azure Policy w kategorii "Defender dla Chmury".
- Inicjatywa default zawiera listę wszystkich definicji Azure Policy, które są częścią inicjatywy domyślnej Defender dla Chmury, Microsoft testu porównawczego zabezpieczeń w chmurze. Ten Microsoft powszechnie szanowany test porównawczy opiera się na kontrolach z Center for Internet Security (CIS) oraz National Institute of Standards and Technology (NIST) koncentrując się na zabezpieczeniach skoncentrowanych na chmurze.
- Grupa
category0 zawiera listę wszystkich definicji Azure Policy w kategorii "Defender dla Chmury".
Aby uzyskać więcej informacji na temat zasad zabezpieczeń, zobacz Praca z zasadami zabezpieczeń. Aby uzyskać informacje o innych Azure Policy wbudowanych dla innych usług, zobacz Azure Policy wbudowane definicje.
Nazwa każdej wbudowanej definicji zasad łączy się z definicją zasad w portalu Azure. Użyj linku w kolumnie Version aby wyświetlić źródło w repozytorium Azure Policy GitHub.
inicjatywy Microsoft Defender dla Chmury
Aby dowiedzieć się więcej o wbudowanych inicjatywach monitorowanych przez Defender dla Chmury, zobacz poniższą tabelę:
| Name | Description | Policies | Version |
|---|---|---|---|
| [wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender | Wdróż agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach. | 4 | 1.0.0-preview |
| [wersja zapoznawcza]: Microsoft test porównawczy zabezpieczeń w chmurze w wersji 2 | Inicjatywa testu porównawczego zabezpieczeń w chmurze Microsoft reprezentuje zasady i mechanizmy kontroli implementowania zaleceń dotyczących zabezpieczeń zdefiniowanych w Microsoft testu porównawczego zabezpieczeń w chmurze, zobacz https://aka.ms/azsecbm. Służy to również jako domyślna inicjatywa zasad Microsoft Defender dla Chmury. Tę inicjatywę można przypisać bezpośrednio lub zarządzać jej zasadami i wynikami zgodności w Microsoft Defender dla Chmury. | 414 | 1.3.0—wersja zapoznawcza |
| Konfigurowanie Advanced Threat Protection można włączyć w relacyjnych bazach danych typu open source | Włącz Advanced Threat Protection w relacyjnych bazach danych open source innych niż Podstawowa, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Zobacz: https://aka.ms/AzDforOpenSourceDBsDocu. | 5 | 1.2.0 |
| Konfiguruj Azure Defender, które mają być włączone na serwerach SQL i w usłudze SQL Managed Instances | Włącz Azure Defender na serwerach SQL i wystąpieniach zarządzanych SQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | 3 | 3.0.0 |
| Konfiguruj plany Microsoft Defender dla Chmury | Microsoft Defender dla Chmury zapewnia kompleksowe, natywne dla chmury zabezpieczenia przed programowaniem i środowiskiem uruchomieniowym w środowiskach wielochmurowych. Użyj inicjatywy zasad, aby skonfigurować plany i rozszerzenia Defender dla Chmury, które mają być włączone w wybranych zakresach. | 12 | 1.1.0 |
| Konfigurowanie Microsoft Defender dla baz danych do włączenia | Skonfiguruj Microsoft Defender dla baz danych w celu ochrony baz danych Azure SQL, wystąpień zarządzanych, relacyjnych baz danych typu open source i usługi Cosmos DB. | 4 | 1.0.0 |
| Konfiguruj wiele ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender za pomocą Microsoft Defender dla Chmury | Skonfiguruj wiele ustawień integracji Ochrona punktu końcowego w usłudze Microsoft Defender przy użyciu Microsoft Defender dla Chmury (WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION itp.). Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | 3 | 1.0.0 |
| Konfigurowanie maszyn wirtualnych SQL i serwerów SQL z obsługą usługi Arc w celu zainstalowania rozszerzenia Microsoft Defender | Microsoft Defender dla usługi SQL zbiera zdarzenia od agentów i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). | 3 | 1.0.0 |
| Konfigurowanie maszyn wirtualnych SQL i serwerów SQL z obsługą usługi Arc w celu zainstalowania Microsoft Defender dla usług SQL i AMA z obszarem roboczym usługi LA | Microsoft Defender dla usługi SQL zbiera zdarzenia od agentów i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i regułę zbierania danych oraz obszar roboczy Log Analytics w tym samym regionie co maszyna. | 9 | 1.3.0 |
| Konfigurowanie maszyn wirtualnych SQL i serwerów SQL z obsługą usługi Arc w celu zainstalowania Microsoft Defender dla programów SQL i AMA przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Microsoft Defender dla usługi SQL zbiera zdarzenia od agentów i używa ich do zapewniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy Log Analytics. | 8 | 1.2.0 |
| Microsoft test porównawczy zabezpieczeń w chmurze | Inicjatywa testu porównawczego zabezpieczeń w chmurze Microsoft reprezentuje zasady i mechanizmy kontroli implementowania zaleceń dotyczących zabezpieczeń zdefiniowanych w Microsoft testu porównawczego zabezpieczeń w chmurze, zobacz https://aka.ms/azsecbm. Służy to również jako domyślna inicjatywa zasad Microsoft Defender dla Chmury. Tę inicjatywę można przypisać bezpośrednio lub zarządzać jej zasadami i wynikami zgodności w Microsoft Defender dla Chmury. | 223 | 57.56.0 |
domyślna inicjatywa Defender dla Chmury (test porównawczy zabezpieczeń chmury Microsoft)
Aby dowiedzieć się więcej o wbudowanych zasadach monitorowanych przez Defender dla Chmury, zobacz poniższą tabelę:
| Nazwa zasady (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [wersja zapoznawcza]: cały ruch internetowy powinien być kierowany za pośrednictwem wdrożonego Azure Firewall | Azure Security Center wykryła, że niektóre podsieci nie są chronione za pomocą zapory nowej generacji. Ochrona podsieci przed potencjalnymi zagrożeniami przez ograniczenie dostępu do nich za pomocą Azure Firewall lub obsługiwanej zapory nowej generacji | AudytJeśliNieIstnieje, Wyłączony | 3.0.0-preview |
| [wersja zapoznawcza]: Azure Arc włączone klastry Kubernetes powinny mieć zainstalowane rozszerzenie Microsoft Defender dla Chmury | rozszerzenie Microsoft Defender dla Chmury dla Azure Arc zapewnia ochronę przed zagrożeniami dla klastrów Kubernetes z obsługą usługi Arc. Rozszerzenie zbiera dane ze wszystkich węzłów w klastrze i wysyła je do Azure Defender zaplecza kubernetes w chmurze w celu dalszej analizy. Dowiedz się więcej w temacie https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc. | AudytJeśliNieIstnieje, Wyłączony | 6.0.0-preview |
| [wersja zapoznawcza]: serwer elastyczny Azure PostgreSQL powinien mieć włączony Microsoft Entra Tylko uwierzytelnianie | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na Microsoft Entra uwierzytelnianie zwiększa bezpieczeństwo, zapewniając, że Azure serwer elastyczny PostgreSQL może być dostępny wyłącznie przez tożsamości Microsoft Entra. | Inspekcja, wyłączone | 1.0.0-preview |
| [wersja zapoznawcza]: serwery Azure Stack HCI powinny mieć spójnie wymuszane zasady kontroli aplikacji | Zastosuj co najmniej zasady podstawowe Microsoft WDAC w trybie wymuszanym na wszystkich serwerach Azure Stack HCI. Zastosowane zasady kontroli aplikacji (WDAC) Windows Defender muszą być spójne między serwerami w tym samym klastrze. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [wersja zapoznawcza]: serwery Azure Stack HCI powinny spełniać wymagania zabezpieczonego rdzenia | Upewnij się, że wszystkie serwery Azure Stack HCI spełniają wymagania zabezpieczonego rdzenia. Aby włączyć wymagania serwera zabezpieczonego rdzenia: 1. Na stronie klastrów Azure Stack HCI przejdź do Windows Admin Center i wybierz pozycję Połącz. 2. Przejdź do rozszerzenia Zabezpieczenia i wybierz pozycję Zabezpieczone-core. 3. Wybierz dowolne ustawienie, które nie jest włączone, a następnie kliknij przycisk Włącz. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [wersja zapoznawcza]: systemy Azure Stack HCI powinny mieć zaszyfrowane woluminy | Funkcja BitLocker umożliwia szyfrowanie woluminów systemu operacyjnego i danych w systemach Azure Stack HCI. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AudytJeśliNieIstnieje, Wyłączony | 6.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AudytJeśliNieIstnieje, Wyłączony | 5.1.0-preview |
| [wersja zapoznawcza]: rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych uruchamiania i poufnego Windows. | AudytJeśliNieIstnieje, Wyłączony | 4.0.0-preview |
| [wersja zapoznawcza]: rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych zestawach skalowania maszyn wirtualnych Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych uruchomiń i poufnych zestawów skalowania maszyn wirtualnych Windows. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0-preview |
| [wersja zapoznawcza]: sieć hostów i maszyn wirtualnych powinna być chroniona w systemach Azure Stack HCI | Ochrona danych w sieci hostów Azure Stack HCI i połączeń sieciowych maszyn wirtualnych. | Inspekcja, wyłączone, AuditIfNotExists | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [Wersja zapoznawcza]: Agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych z systemem Linux | Usługa Security Center używa agenta zależności Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2-preview |
| [wersja zapoznawcza]: agent zbierania danych ruchu sieciowego powinien być zainstalowany na maszynach wirtualnych Windows | Usługa Security Center używa agenta zależności Microsoft do zbierania danych ruchu sieciowego z maszyn wirtualnych Azure w celu włączenia zaawansowanych funkcji ochrony sieci, takich jak wizualizacja ruchu na mapie sieci, rekomendacje dotyczące wzmacniania zabezpieczeń sieci i określone zagrożenia sieciowe. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2-preview |
| [wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych uruchamiania i poufnego Windows. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| A administrator Microsoft Entra powinien być aprowizowany dla serwerów MySQL | Przeprowadź inspekcję aprowizacji administratora Microsoft Entra dla serwera MySQL, aby umożliwić uwierzytelnianie Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AudytJeśliNieIstnieje, Wyłączony | 1.1.1 |
| A administrator Microsoft Entra powinien być aprowizowany dla serwerów PostgreSQL | Inspekcja aprowizacji administratora Microsoft Entra dla serwera PostgreSQL w celu włączenia uwierzytelniania Microsoft Entra. Microsoft Entra uwierzytelnianie umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. warstwa cenowa Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Azure Security Center zidentyfikował niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń, aby być zbyt permisywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Administrator Azure Active Directory powinien być aprowizowany dla serwerów SQL | Przeprowadź inspekcję aprowizacji administratora Azure Active Directory dla serwera SQL, aby umożliwić Azure uwierzytelnianie usługi AD. Azure uwierzytelnianie usługi AD umożliwia uproszczone zarządzanie uprawnieniami i scentralizowane zarządzanie tożsamościami użytkowników bazy danych i innych usługi firmy Microsoft | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| punkty końcowe API w Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. Dowiedz się więcej o zagrożeniu interfejsu API OWASP dla uszkodzonego uwierzytelniania użytkowników tutaj: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| API punkty końcowe, które są nieużywane, powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa dla organizacji. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale mogły zostać przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Interfejsy API usługi API Management powinny używać tylko zaszyfrowanych protokołów | Aby zapewnić bezpieczeństwo przesyłanych danych, interfejsy API powinny być dostępne tylko za pośrednictwem szyfrowanych protokołów, takich jak HTTPS lub WSS. Unikaj używania niezabezpieczonych protokołów, takich jak HTTP lub WS. | Inspekcja, Wyłączone, Odmowa | 2.0.2 |
| Wywołania usługi API Management do zapleczy interfejsu API powinny być uwierzytelniane | Wywołania z usługi API Management do zapleczy powinny używać jakiejś formy uwierzytelniania, niezależnie od tego, czy za pośrednictwem certyfikatów, czy poświadczeń. Nie dotyczy zapleczy usługi Fabric. | Inspekcja, Wyłączone, Odmowa | 1.0.1 |
| Wywołania usługi API Management do zapleczy interfejsu API nie powinny pomijać odcisku palca certyfikatu ani sprawdzania poprawności nazwy | Aby zwiększyć bezpieczeństwo interfejsu API, usługa API Management powinna zweryfikować certyfikat serwera zaplecza dla wszystkich wywołań interfejsu API. Włącz odcisk palca certyfikatu SSL i walidację nazwy. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Nie należy włączać bezpośredniego punktu końcowego zarządzania usługą API Management | Bezpośredni interfejs API REST zarządzania w Azure API Management pomija Azure Resource Manager mechanizmów kontroli dostępu, autoryzacji i ograniczania dostępu opartego na rolach, co zwiększa lukę w zabezpieczeniach usługi. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| API Management secret nazwane wartości powinny być przechowywane w Azure Key Vault | Nazwane wartości to kolekcja par nazw i wartości w każdej usłudze API Management. Wartości wpisów tajnych mogą być przechowywane jako zaszyfrowany tekst w usłudze API Management (niestandardowe wpisy tajne) lub przez odwoływanie się do wpisów tajnych w Azure Key Vault. Aby zwiększyć bezpieczeństwo usługi API Management i wpisów tajnych, odwołaj się do wpisów tajnych nazwanych wartości z Azure Key Vault. Azure Key Vault obsługuje szczegółowe zarządzanie dostępem i zasady rotacji wpisów tajnych. | Inspekcja, Wyłączone, Odmowa | 1.0.2 |
| Usługi API Management powinny używać sieci wirtualnej | Azure Virtual Network wdrożenie zapewnia zwiększone zabezpieczenia, izolację i umożliwia umieszczenie usługi API Management w sieci nieinternetowej, do której kontrolujesz dostęp. Te sieci można następnie połączyć z sieciami lokalnymi przy użyciu różnych technologii sieci VPN, co umożliwia dostęp do usług zaplecza w sieci i/lub lokalnie. Portal dla deweloperów i brama interfejsu API można skonfigurować tak, aby był dostępny z Internetu lub tylko w sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Usługa API Management powinna wyłączyć dostęp do sieci publicznej do punktów końcowych konfiguracji usługi | Aby zwiększyć bezpieczeństwo usług API Management, ogranicz łączność z punktami końcowymi konfiguracji usługi, takimi jak bezpośredni interfejs API zarządzania dostępem, punkt końcowy zarządzania konfiguracją usługi Git lub punkt końcowy konfiguracji bram hostowanych samodzielnie. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Subskrypcje usługi API Management nie powinny być ograniczone do wszystkich interfejsów API | Subskrypcje usługi API Management powinny być ograniczone do produktu lub pojedynczego interfejsu API zamiast wszystkich interfejsów API, co może spowodować nadmierne narażenie na dane. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| Usługa App Configuration powinna używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na wystąpienia konfiguracji aplikacji zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/appconfig/private-endpoint. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Aplikacje usługi App Service powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Aplikacje usługi App Service powinny mieć wyłączone zdalne debugowanie | Zdalne debugowanie wymaga otwarcia portów przychodzących w aplikacji usługi App Service. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Aplikacje usługi App Service powinny mieć włączone dzienniki zasobów | Inspekcja włączania dzienników zasobów w aplikacji. Dzięki temu można ponownie utworzyć ślady aktywności na potrzeby badania, jeśli wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Aplikacje usługi App Service nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji. Zezwalaj tylko na interakcję z aplikacją tylko wymaganych domen. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Aplikacje usługi App Service powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 4.0.0 |
| Aplikacje usługi App Service powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje usługi App Service powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Aplikacje usługi App Service powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji usługi App Service, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.2.0 |
| Inspekcja użycia niestandardowych ról RBAC | Przeprowadź inspekcję wbudowanych ról, takich jak "Właściciel, Współautor, Czytelnik" zamiast niestandardowych ról RBAC, które są podatne na błędy. Używanie ról niestandardowych jest traktowane jako wyjątek i wymaga rygorystycznego przeglądu i modelowania zagrożeń | Inspekcja, wyłączone | 1.0.1 |
| Inspekcja na serwerze SQL powinna być włączona | Inspekcja SQL Server powinna być włączona w celu śledzenia działań bazy danych we wszystkich bazach danych na serwerze i zapisywania ich w dzienniku inspekcji. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Uwierzytelnianie na maszynach z systemem Linux powinno wymagać kluczy SSH | Mimo że sam protokół SSH zapewnia zaszyfrowane połączenie, użycie haseł za pomocą protokołu SSH nadal pozostawia maszynę wirtualną podatną na ataki siłowe. Najbezpieczniejszą opcją uwierzytelniania na maszynie wirtualnej z systemem Azure Linux za pośrednictwem protokołu SSH jest para kluczy publiczny-prywatny, nazywana również kluczami SSH. Dowiedz się więcej: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AudytJeśliNieIstnieje, Wyłączony | 3.2.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Zmienne konta usługi Automation powinny być szyfrowane | Ważne jest włączenie szyfrowania zasobów zmiennych konta usługi Automation podczas przechowywania poufnych danych | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Azure zasoby usług sztucznej inteligencji powinny szyfrować dane magazynowane przy użyciu klucza zarządzanego przez klienta (CMK) | Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez klienta zapewnia większą kontrolę nad cyklem życia klucza, w tym rotacją i zarządzaniem. Jest to szczególnie istotne dla organizacji z powiązanymi wymaganiami dotyczącymi zgodności. Nie jest to domyślnie oceniane i powinno być stosowane tylko wtedy, gdy są wymagane przez wymagania dotyczące zgodności lub restrykcyjnych zasad. Jeśli nie zostanie włączona, dane będą szyfrowane przy użyciu kluczy zarządzanych przez platformę. Aby to zaimplementować, zaktualizuj parametr "Effect" w zasadach zabezpieczeń dla odpowiedniego zakresu. | Inspekcja, Odmowa, Wyłączone | 2.2.0 |
| Azure zasoby usług sztucznej inteligencji powinny mieć wyłączony dostęp do klucza (wyłącz uwierzytelnianie lokalne) | W przypadku zabezpieczeń zaleca się wyłączenie dostępu do klucza (uwierzytelnianie lokalne). Azure OpenAI Studio, zwykle używane podczas programowania/testowania, wymaga dostępu klucza i nie będzie działać, jeśli dostęp do klucza jest wyłączony. Po wyłączeniu Microsoft Entra ID staje się jedyną metodą dostępu, która umożliwia utrzymanie minimalnej zasady uprawnień i szczegółowej kontroli. Dowiedz się więcej na stronie: https://aka.ms/AI/auth | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Azure zasoby usług sztucznej inteligencji powinny ograniczać dostęp do sieci | Ograniczając dostęp do sieci, możesz upewnić się, że tylko dozwolone sieci będą mogły uzyskiwać dostęp do usługi. Można to osiągnąć, konfigurując reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do usługi Azure sztucznej inteligencji. | Inspekcja, Odmowa, Wyłączone | 3.3.0 |
| Azure zasoby usług sztucznej inteligencji powinny używać Azure Private Link | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link zmniejsza ryzyko wycieku danych dzięki obsłudze łączności między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Dowiedz się więcej o linkach prywatnych na stronie: https://aka.ms/AzurePrivateLink/Overview | Inspekcja, wyłączone | 1.0.0 |
| Azure API Management wersja platformy powinna mieć wartość stv2 | Azure API Management wersja platformy obliczeniowej stv1 zostanie wycofana z dnia 31 sierpnia 2024 r., a te wystąpienia powinny zostać zmigrowane na platformę obliczeniową stv2 w celu zapewnienia dalszej obsługi. Dowiedz się więcej na stronie https://learn.microsoft.com/azure/api-management/breaking-changes/stv1-platform-retirement-august-2024 | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Azure Arc włączone klastry Kubernetes powinny mieć zainstalowane rozszerzenie Azure Policy | Rozszerzenie Azure Policy dla Azure Arc zapewnia wymuszanie na dużą skalę i zabezpieczenia klastrów Kubernetes z obsługą usługi Arc w sposób scentralizowany i spójny. Dowiedz się więcej na https://aka.ms/akspolicydoc. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Azure Backup należy włączyć dla Virtual Machines | Zapewnij ochronę Azure Virtual Machines, włączając Azure Backup. Azure Backup to bezpieczne i ekonomiczne rozwiązanie do ochrony danych dla Azure. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Azure Cache for Redis należy użyć łącza prywatnego | Prywatne punkty końcowe umożliwiają łączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Mapowanie prywatnych punktów końcowych na wystąpienia Azure Cache for Redis zmniejsza ryzyko wycieku danych. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| konta Azure Cosmos DB powinny mieć reguły zapory | Reguły zapory powinny być zdefiniowane na kontach Azure Cosmos DB, aby uniemożliwić ruch z nieautoryzowanych źródeł. Konta, które mają co najmniej jedną regułę adresu IP zdefiniowaną z włączonym filtrem sieci wirtualnej, są uznawane za zgodne. Konta wyłączające dostęp publiczny są również uznawane za zgodne. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| konta Azure Cosmos DB powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w spoczynku Azure Cosmos DB. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/cosmosdb-cmk. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 1.1.0 |
| Azure Cosmos DB powinien wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że konto usługi CosmosDB nie jest uwidocznione w publicznym Internecie. Tworzenie prywatnych punktów końcowych może ograniczyć narażenie konta usługi CosmosDB. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints#blocking-public-network-access-during-account-creation. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Azure Databricks Klastry powinny wyłączyć publiczny adres IP | Wyłączenie publicznego adresu IP klastrów w obszarach roboczych Azure Databricks zwiększa bezpieczeństwo, zapewniając, że klastry nie są uwidocznione w publicznym Internecie. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/databricks/security/secure-cluster-connectivity. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Azure Databricks Obszary robocze powinny znajdować się w sieci wirtualnej | Azure sieci wirtualne zapewniają zwiększone zabezpieczenia i izolację dla obszarów roboczych Azure Databricks, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/vnet-inject. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Azure Databricks Obszary robocze powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że zasób nie jest uwidoczniony w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję zasobów, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/databricks/administration-guide/cloud-configurations/azure/private-link. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Azure Databricks Obszary robocze powinny używać łącza prywatnego | Azure Private Link umożliwia łączenie sieci wirtualnych z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na obszary robocze Azure Databricks, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/adbpe. | Inspekcja, wyłączone | 1.0.2 |
| Azure należy włączyć ochronę przed atakami DDoS | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AudytJeśliNieIstnieje, Wyłączony | 3.0.1 |
| Azure Defender dla usługi App Service należy włączyć | Azure Defender dla usługi App Service wykorzystuje skalę chmury i widoczność, która Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla serwerów Azure SQL Database należy włączyć | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Azure Defender dla Key Vault należy włączyć | Azure Defender dla Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń, wykrywając nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont key vault lub wykorzystania ich. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla relacyjnych baz danych typu open source należy włączyć | Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach Azure Defender dla relacyjnych baz danych typu open source na stronie https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla Resource Manager należy włączyć | Azure Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach Azure Defender dla Resource Manager na stronie https://aka.ms/defender-for-resource-manager . Włączenie tego planu Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla serwerów należy włączyć | Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla serwerów SQL na maszynach należy włączyć | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Azure Defender dla programu SQL powinny być włączone dla niechronionych serwerów Azure SQL | Przeprowadzanie inspekcji serwerów SQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Azure Defender dla programu SQL powinny być włączone dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla programu SQL powinny być włączone dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla usługi SQL powinny być włączone dla niechronionych wystąpień zarządzanych SQL | Przeprowadź inspekcję poszczególnych SQL Managed Instance bez zaawansowanych zabezpieczeń danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Azure Event Grid domeny powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe do domeny usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Azure Event Grid tematy powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na temat usługi Event Grid zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/privateendpoints. | Inspekcja, wyłączone | 1.0.2 |
| Azure Key Vault powinna być wyłączona zapora lub dostęp do sieci publicznej | Włącz zaporę magazynu kluczy, aby magazyn kluczy był domyślnie niedostępny dla żadnych publicznych adresów IP lub wyłączył dostęp do sieci publicznej dla magazynu kluczy, aby nie był dostępny za pośrednictwem publicznego Internetu. Opcjonalnie można skonfigurować określone zakresy adresów IP, aby ograniczyć dostęp do tych sieci. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/key-vault/general/network-security i https://aka.ms/akvprivatelink | Inspekcja, Odmowa, Wyłączone | 3.3.0 |
| Azure Key Vault powinien używać modelu uprawnień RBAC | Włącz model uprawnień RBAC w usłudze Key Vault. Dowiedz się więcej na stronie: https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Azure Usługa Key Vault powinna używać łącza prywatnego | Azure Private Link umożliwia łączenie sieci wirtualnych z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na magazyn kluczy, można zmniejszyć ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/akvprivatelink. | [parameters('audit_effect')] | 1.2.1 |
| klastry Azure Kubernetes Service powinny mieć włączony profil Defender | Microsoft Defender for Containers zapewnia natywne dla chmury funkcje zabezpieczeń platformy Kubernetes, w tym zabezpieczenia środowiska, ochronę obciążeń i ochronę w czasie wykonywania. Po włączeniu elementu SecurityProfile.AzureDefender w klastrze Azure Kubernetes Service agent zostanie wdrożony w klastrze w celu zbierania danych zdarzeń zabezpieczeń. Dowiedz się więcej o Microsoft Defender for Containers w https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks | Inspekcja, wyłączone | 2.0.1 |
| Azure Machine Learning wystąpienia obliczeniowe powinny być ponownie tworzone, aby uzyskać najnowsze aktualizacje oprogramowania | Upewnij się, że Azure Machine Learning wystąpienia obliczeniowe działają w najnowszym dostępnym systemie operacyjnym. Zabezpieczenia są ulepszane i ograniczane przez uruchomienie najnowszych poprawek zabezpieczeń. Aby uzyskać więcej informacji, zobacz https://aka.ms/azureml-ci-updates/. | [parameters('effects')] | 1.0.3 |
| Azure Machine Learning Obliczenia powinny znajdować się w sieci wirtualnej | Azure Sieci wirtualne zapewniają zwiększone zabezpieczenia i izolację klastrów obliczeniowych i wystąpień Azure Machine Learning, a także podsieci, zasad kontroli dostępu i innych funkcji w celu dalszego ograniczenia dostępu. Po skonfigurowaniu obliczeń z siecią wirtualną nie jest on publicznie adresowany i można uzyskać do niego dostęp tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej. | Inspekcja, wyłączone | 1.0.1 |
| Azure Machine Learning Obliczenia powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że Machine Learning Computes wymagają Azure Active Directory tożsamości wyłącznie na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://aka.ms/azure-ml-aad-policy. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Azure Machine Learning obszary robocze powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Zarządzanie szyfrowaniem w spoczynku Azure Machine Learning danych obszaru roboczego przy użyciu kluczy zarządzanych przez klienta. Domyślnie dane klienta są szyfrowane przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/azureml-workspaces-cmk. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Azure Machine Learning Obszary robocze powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając, że obszary robocze Machine Learning nie są uwidocznione w publicznym Internecie. Zamiast tego możesz kontrolować ekspozycję obszarów roboczych, tworząc prywatne punkty końcowe. Dowiedz się więcej na stronie: https://learn.microsoft.com/azure/machine-learning/how-to-configure-private-link?view=azureml-api-2& tabs=azure-portal. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Azure Machine Learning obszary robocze powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapowanie prywatnych punktów końcowych na obszary robocze Azure Machine Learning zmniejsza ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link. | Inspekcja, wyłączone | 1.0.0 |
| Azure Serwer elastyczny MySQL powinien mieć włączony Microsoft Entra Tylko uwierzytelnianie | Wyłączenie lokalnych metod uwierzytelniania i zezwolenie tylko na uwierzytelnianie Microsoft Entra zwiększa bezpieczeństwo, zapewniając, że Azure serwer elastyczny MySQL może uzyskiwać dostęp wyłącznie za pomocą tożsamości Microsoft Entra. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Azure Policy dodatek dla usługi Kubernetes Service (AKS) powinien zostać zainstalowany i włączony w klastrach | Azure Policy dodatek dla usługi Kubernetes Service (AKS) rozszerza usługę Gatekeeper w wersji 3, element webhook kontrolera dostępu dla agenta open policy agent (OPA), aby zastosować wymuszanie na dużą skalę i zabezpieczenia w klastrach w sposób scentralizowany, spójny. | Inspekcja, wyłączone | 1.0.2 |
| Azure obrazy kontenerów rejestru powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Azure uruchomione obrazy kontenerów powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Azure SignalR Service należy użyć łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na zasób Azure SignalR Service zamiast całej usługi, zmniejszysz ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://aka.ms/asrs/privatelink. | Inspekcja, wyłączone | 1.0.0 |
| Azure Spring Cloud powinien używać iniekcji sieci | Azure wystąpienia usługi Spring Cloud powinny używać iniekcji sieci wirtualnej do następujących celów: 1. Izolowanie Azure Spring Cloud z Internetu. 2. Włącz Azure Spring Cloud, aby wchodzić w interakcje z systemami w lokalnych centrach danych lub w usłudze Azure w innych sieciach wirtualnych. 3. Umożliwienie klientom kontrolowania przychodzącej i wychodzącej komunikacji sieciowej na potrzeby usługi Azure Spring Cloud. | Inspekcja, Wyłączone, Odmowa | 1.2.0 |
| Azure SQL Database powinien działać protokół TLS w wersji 1.2 lub nowszej | Ustawienie wersji protokołu TLS na 1.2 lub nowsze zwiększa bezpieczeństwo, zapewniając, że dostęp do Azure SQL Database można uzyskać tylko od klientów przy użyciu protokołu TLS 1.2 lub nowszego. Używanie wersji protokołu TLS mniejszej niż 1.2 nie jest zalecane, ponieważ mają dobrze udokumentowane luki w zabezpieczeniach. | Inspekcja, Wyłączone, Odmowa | 2.0.0 |
| Azure SQL Database powinien mieć włączone uwierzytelnianie tylko Microsoft Entra | Wymagaj Azure SQL serwerów logicznych do używania uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują tworzenia serwerów z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Azure SQL serwery logiczne powinny mieć włączone uwierzytelnianie tylko Microsoft Entra podczas tworzenia | Wymagaj utworzenia Azure SQL serwerów logicznych przy użyciu uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.3.0 |
| Azure SQL Managed Instance powinien mieć włączone uwierzytelnianie tylko Microsoft Entra | Wymagaj Azure SQL Managed Instance do używania uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują tworzenia Azure SQL wystąpień zarządzanych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Azure SQL Wystąpienia zarządzane powinny wyłączyć dostęp do sieci publicznej | Wyłączenie dostępu do sieci publicznej (publicznego punktu końcowego) w usłudze Azure SQL Managed Instances zwiększa bezpieczeństwo, zapewniając dostęp do nich tylko z sieci wirtualnych lub za pośrednictwem prywatnych punktów końcowych. Aby dowiedzieć się więcej o dostępie do sieci publicznej, odwiedź stronę https://aka.ms/mi-public-endpoint. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Azure SQL Wystąpienia zarządzane powinny mieć włączone uwierzytelnianie tylko Microsoft Entra podczas tworzenia | Wymagaj utworzenia Azure SQL Managed Instance przy użyciu uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/adonlycreate. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Azure Web Application Firewall należy włączyć dla Azure Front Door punktów wejścia | Wdróż Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Blokowane konta z uprawnieniami właściciela do zasobów Azure należy usunąć | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Blokowane konta z uprawnieniami do odczytu i zapisu w zasobach Azure należy usunąć | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Certyfikaty powinny mieć określony maksymalny okres ważności | Zarządzaj wymaganiami dotyczącymi zgodności organizacji, określając maksymalny czas ważności certyfikatu w magazynie kluczy. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 2.2.1 |
| Rejestry kontenerów powinny być szyfrowane przy użyciu klucza zarządzanego przez klienta | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem w pozostałej części zawartości rejestrów. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. Dowiedz się więcej na https://aka.ms/acr/CMK. | Inspekcja, Odmowa, Wyłączone | 1.1.2 |
| Rejestry kontenerów nie powinny zezwalać na nieograniczony dostęp do sieci | Azure rejestry kontenerów domyślnie akceptują połączenia przez Internet z hostów w dowolnej sieci. Aby chronić rejestry przed potencjalnymi zagrożeniami, zezwól na dostęp tylko z określonych prywatnych punktów końcowych, publicznych adresów IP lub zakresów adresów. Jeśli rejestr nie ma skonfigurowanych reguł sieciowych, pojawi się w zasobach w złej kondycji. Dowiedz się więcej o regułach sieci usługi Container Registry tutaj: https://aka.ms/acr/privatelinkihttps://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Rejestry kontenerów powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma łącza prywatnego obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe do rejestrów kontenerów zamiast całej usługi, będziesz również chronić przed zagrożeniami wycieków danych. Dowiedz się więcej na stronie: https://aka.ms/acr/private-link. | Inspekcja, wyłączone | 1.0.1 |
| Konta bazy danych usługi Cosmos DB powinny mieć wyłączone lokalne metody uwierzytelniania | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że konta bazy danych usługi Cosmos DB wymagają wyłącznie Azure Active Directory tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej na stronie: https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Konta usługi CosmosDB powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapowanie prywatnych punktów końcowych na konto usługi CosmosDB powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints. | Inspekcja, wyłączone | 1.0.0 |
| Dzienniki diagnostyczne w zasobach Azure AI services powinny być włączone | Włącz dzienniki dla zasobów Azure AI services. Dzięki temu można odtworzyć ślady aktywności na potrzeby badania, gdy wystąpi zdarzenie zabezpieczeń lub sieć zostanie naruszona | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.2.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych MySQL | Azure Database for MySQL obsługuje łączenie serwera Azure Database for MySQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Wymuszanie połączenia SSL powinno być włączone dla serwerów baz danych PostgreSQL | Azure Database for PostgreSQL obsługuje łączenie serwera Azure Database for PostgreSQL z aplikacjami klienckimi przy użyciu protokołu SSL (Secure Sockets Layer). Wymuszanie połączeń SSL między serwerem bazy danych a aplikacjami klienckimi pomaga chronić przed atakami typu "człowiek w środku", szyfrując strumień danych między serwerem a aplikacją. Ta konfiguracja wymusza, że protokół SSL jest zawsze włączony do uzyskiwania dostępu do serwera bazy danych. | Inspekcja, wyłączone | 1.0.1 |
| Aplikacje funkcji powinny mieć włączone certyfikaty klienta (przychodzące certyfikaty klienta) | Certyfikaty klienta umożliwiają aplikacji żądanie certyfikatu dla żądań przychodzących. Tylko klienci z prawidłowym certyfikatem będą mogli uzyskać dostęp do aplikacji. Te zasady dotyczą aplikacji z ustawioną wersją http na 1.1. | AudytJeśliNieIstnieje, Wyłączony | 1.1.0 |
| Aplikacje funkcji powinny mieć wyłączone zdalne debugowanie | Debugowanie zdalne wymaga otwarcia portów przychodzących w aplikacjach funkcji. Zdalne debugowanie powinno być wyłączone. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Aplikacje funkcji nie powinny mieć skonfigurowanego mechanizmu CORS, aby umożliwić każdemu zasobowi dostęp do aplikacji | Udostępnianie zasobów między źródłami (CORS) nie powinno zezwalać wszystkim domenom na dostęp do aplikacji funkcji. Zezwalaj tylko domenom wymaganym na interakcję z aplikacją funkcji. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Aplikacje funkcji powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie serwera/usługi i chroni dane przesyłane przed atakami podsłuchiwania warstwy sieciowej. | Inspekcja, Wyłączone, Odmowa | 5.1.0 |
| Aplikacje funkcji powinny wymagać tylko protokołu FTPS | Włącz wymuszanie protokołu FTPS dla zwiększonych zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| Aplikacje funkcji powinny używać tożsamości zarządzanej | Używanie tożsamości zarządzanej na potrzeby zwiększonych zabezpieczeń uwierzytelniania | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| Aplikacje funkcji powinny używać najnowszej wersji protokołu TLS | Okresowo nowsze wersje są wydawane dla protokołu TLS z powodu wad zabezpieczeń, obejmują dodatkowe funkcje i zwiększają szybkość. Uaktualnij do najnowszej wersji protokołu TLS dla aplikacji funkcji, aby skorzystać z poprawek zabezpieczeń, jeśli istnieją i/lub nowych funkcji najnowszej wersji. | AudytJeśliNieIstnieje, Wyłączony | 2.3.0 |
| Geo nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MariaDB | Azure Database for MariaDB umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Geo nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for MySQL | Azure Database for MySQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Geo nadmiarowa kopia zapasowa powinna być włączona dla Azure Database for PostgreSQL | Azure Database for PostgreSQL umożliwia wybranie opcji nadmiarowości dla serwera bazy danych. Można go ustawić na geograficznie nadmiarowy magazyn kopii zapasowych, w którym dane są nie tylko przechowywane w regionie, w którym jest hostowany serwer, ale także jest replikowany do sparowanego regionu w celu zapewnienia opcji odzyskiwania w przypadku awarii regionu. Konfigurowanie geograficznie nadmiarowego magazynu dla kopii zapasowej jest dozwolone tylko podczas tworzenia serwera. | Inspekcja, wyłączone | 1.0.1 |
| Konta z uprawnieniami właściciela do zasobów Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta z uprawnieniami do odczytu Azure zasobów powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach Azure należy usunąć | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady gościa będą dostępne, takie jak "Windows Należy włączyć funkcję Exploit Guard". Dowiedz się więcej na https://aka.ms/gcpol. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| klucze Key Vault powinny mieć datę wygaśnięcia | Klucze kryptograficzne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Klucze, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na naruszenie klucza. Zalecaną praktyką w zakresie zabezpieczeń jest ustawianie dat wygaśnięcia kluczy kryptograficznych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| wpisy tajne Key Vault powinny mieć datę wygaśnięcia | Wpisy tajne powinny mieć zdefiniowaną datę wygaśnięcia i nie być trwałe. Wpisy tajne, które są ważne na zawsze, zapewniają potencjalnemu atakującemu więcej czasu na ich naruszenie. Zalecanym rozwiązaniem w zakresie zabezpieczeń jest ustawienie dat wygaśnięcia wpisów tajnych. | Inspekcja, Odmowa, Wyłączone | 1.0.2 |
| Magazyny kluczy powinny mieć włączoną ochronę usuwania | Złośliwe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Można zapobiec trwałej utracie danych, włączając ochronę przed przeczyszczeniem i usuwaniem nietrwałym. Ochrona przed przeczyszczeniem chroni przed atakami poufnymi przez wymuszanie obowiązkowego okresu przechowywania dla nietrwałych magazynów kluczy usuniętych. Nikt w organizacji lub Microsoft nie będzie mógł przeczyścić magazynów kluczy w okresie przechowywania usuwania nietrwałego. Pamiętaj, że magazyny kluczy utworzone po 1 września 2019 r. mają domyślnie włączone usuwanie nietrwałe. | Inspekcja, Odmowa, Wyłączone | 2.1.0 |
| Magazyny kluczy powinny mieć włączone usuwanie nietrwałe | Usunięcie magazynu kluczy bez włączonego usuwania nietrwałego powoduje trwałe usunięcie wszystkich wpisów tajnych, kluczy i certyfikatów przechowywanych w magazynie kluczy. Przypadkowe usunięcie magazynu kluczy może prowadzić do trwałej utraty danych. Usuwanie nietrwałe umożliwia odzyskanie przypadkowo usuniętego magazynu kluczy dla konfigurowalnego okresu przechowywania. | Inspekcja, Odmowa, Wyłączone | 3.1.0 |
| Limity zasobów procesora CPU i pamięci kontenerów klastra Kubernetes nie powinny przekraczać określonych limitów | Wymuszanie limitów zasobów procesora CPU i pamięci kontenera w celu zapobiegania atakom wyczerpania zasobów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.3.0 |
| Kontenery klastra Kubernetes nie powinny współużytkować przestrzeni nazw hostów | Blokuj udostępnianie przestrzeni nazw identyfikatora procesu hosta, przestrzeni nazw IPC hosta i przestrzeni nazw sieci hosta w klastrze Kubernetes. To zalecenie jest zgodne ze standardami zabezpieczeń zasobnika Kubernetes dla przestrzeni nazw hostów i jest częścią ciS 5.2.1, 5.2.2 i 5.2.3, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 6.0.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych profilów AppArmor | Kontenery powinny używać tylko dozwolonych profilów AppArmor w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.1 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych funkcji | Ogranicz możliwości zmniejszenia obszaru ataków kontenerów w klastrze Kubernetes. To zalecenie jest częścią ciS 5.2.8 i CIS 5.2.9, które mają na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Kontenery klastra Kubernetes powinny używać tylko dozwolonych obrazów | Użyj obrazów z zaufanych rejestrów, aby zmniejszyć ryzyko narażenia klastra Kubernetes na nieznane luki w zabezpieczeniach, problemy z zabezpieczeniami i złośliwe obrazy. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.3.0 |
| Kontenery klastra Kubernetes powinny działać z głównym systemem plików tylko do odczytu | Uruchamiaj kontenery z głównym systemem plików tylko do odczytu, aby chronić przed zmianami w czasie wykonywania, a złośliwe pliki binarne są dodawane do ścieżki w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.3.0 |
| Woluminy hostpath zasobników klastra Kubernetes powinny używać tylko dozwolonych ścieżek hostów | Ogranicz instalację woluminu HostPath zasobnika do dozwolonych ścieżek hostów w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i Azure Arc z włączoną usługą Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.3.0 |
| Zasobniki klastra Kubernetes i kontenery powinny być uruchamiane tylko z zatwierdzonymi identyfikatorami użytkowników i grup | Kontroluj identyfikatory użytkowników, grup podstawowych, grup uzupełniających i grup plików, których zasobniki i kontenery mogą używać do uruchamiania w klastrze Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 6.2.0 |
| Zasobniki klastra Kubernetes powinny używać tylko zatwierdzonej sieci hosta i listy portów | Ogranicz dostęp zasobnika do sieci hostów i dozwolonych portów hosta w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.4, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes i jest zgodny ze standardami zabezpieczeń zasobników (PSS) dla hostPorts. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 7.0.0 |
| Usługi klastra Kubernetes powinny nasłuchiwać tylko na dozwolonych portach | Ogranicz usługi do nasłuchiwania tylko na dozwolonych portach, aby zabezpieczyć dostęp do klastra Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 8.2.0 |
| Klaster Kubernetes nie powinien zezwalać na uprzywilejowane kontenery | Nie zezwalaj na tworzenie uprzywilejowanych kontenerów w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.1, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 9.2.0 |
| Klastry Kubernetes powinny być dostępne tylko za pośrednictwem protokołu HTTPS | Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie i chroni dane podczas przesyłania przed atakami podsłuchiwania warstwy sieciowej. Ta funkcja jest obecnie ogólnie dostępna dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, odwiedź stronę https://aka.ms/kubepolicydoc | Inspekcja, Odmowa, Wyłączone | 9.0.0 |
| Klastry Kubernetes powinny wyłączyć automatyczne instalowanie poświadczeń interfejsu API | Wyłącz automatyczne instalowanie poświadczeń interfejsu API, aby zapobiec potencjalnie naruszonemu zasobowi zasobnika uruchamiania poleceń interfejsu API w klastrach Kubernetes. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.2.0 |
| Klastry Kubernetes nie powinny zezwalać na eskalację uprawnień kontenera | Nie zezwalaj kontenerom na uruchamianie z eskalacją uprawnień do katalogu głównego w klastrze Kubernetes. To zalecenie jest częścią modelu CIS 5.2.5, który ma na celu poprawę bezpieczeństwa środowisk Kubernetes. Te zasady są ogólnie dostępne dla usługi Kubernetes Service (AKS) i w wersji zapoznawczej dla platformy Kubernetes z włączoną obsługą Azure Arc. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | Inspekcja, Odmowa, Wyłączone | 8.0.0 |
| Klastry Kubernetes nie powinny udzielać CAP_SYS_ADMIN możliwości zabezpieczeń | Aby zmniejszyć obszar ataków kontenerów, ogranicz CAP_SYS_ADMIN możliwości systemu Linux. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 5.1.0 |
| Klastry Kubernetes nie powinny używać domyślnej przestrzeni nazw | Zapobiegaj użyciu domyślnej przestrzeni nazw w klastrach Kubernetes, aby chronić przed nieautoryzowanym dostępem dla typów zasobów ConfigMap, Pod, Secret, Service i ServiceAccount. Aby uzyskać więcej informacji, zobacz https://aka.ms/kubepolicydoc. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 4.2.0 |
| maszyny Linux powinny spełniać wymagania dotyczące punktu odniesienia zabezpieczeń obliczeń Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.3.1 |
| maszyny wirtualne Linux powinny włączyć Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Użyj Azure Disk Encryption lub EncryptionAtHost, aby skorygować. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AudytJeśliNieIstnieje, Wyłączony | 1.2.1 |
| Maszyny należy skonfigurować do okresowego sprawdzania brakujących aktualizacji systemu | Aby zapewnić automatyczne wyzwalanie okresowych ocen brakujących aktualizacji systemu co 24 godziny, właściwość AssessmentMode powinna być ustawiona na wartość "AutomaticByPlatform". Dowiedz się więcej o właściwości AssessmentMode dla Windows: https://aka.ms/computevm-windowspatchassessmentmode, dla systemu Linux: https://aka.ms/computevm-linuxpatchassessmentmode. | Inspekcja, Odmowa, Wyłączone | 3.9.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) sieci będzie monitorowany przez Azure Security Center zgodnie z zaleceniami | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| W CSPM w usłudze Defender Microsoft powinna być włączona | Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM) zapewnia ulepszone możliwości stanu i nowy inteligentny wykres zabezpieczeń chmury, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla interfejsów API należy włączyć | Microsoft Defender dla interfejsów API zapewnia nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Microsoft Defender dla kontenerów należy włączyć | Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Azure, hybrydowych i wielochmurowych platform Kubernetes. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla programu SQL powinny być włączone dla niechronionych obszarów roboczych usługi Synapse | Włącz Defender dla usługi SQL, aby chronić obszary robocze usługi Synapse. Defender dla usługi SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla magazynu należy włączyć | Microsoft Defender dla usługi Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy Defender dla planu magazynu obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Serwery MySQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów MySQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AudytJeśliNieIstnieje, Wyłączony | 1.0.4 |
| Network Watcher należy włączyć | Network Watcher to usługa regionalna, która umożliwia monitorowanie i diagnozowanie warunków na poziomie scenariusza sieciowego w systemach, do i z Azure. Monitorowanie na poziomie scenariusza umożliwia diagnozowanie problemów na koniec widoku poziomu sieci. Wymagane jest utworzenie grupy zasobów usługi Network Watcher w każdym regionie, w którym znajduje się sieć wirtualna. Alert jest włączony, jeśli grupa zasobów usługi Network Watcher nie jest dostępna w określonym regionie. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| W przypadku należy włączyć bezpieczne połączenia z Azure Cache for Redis | Inspekcja włączania tylko połączeń za pośrednictwem protokołu SSL do Azure Cache for Redis. Korzystanie z bezpiecznych połączeń zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Serwery PostgreSQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Użyj kluczy zarządzanych przez klienta, aby zarządzać szyfrowaniem magazynowanych serwerów PostgreSQL. Domyślnie dane są szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez usługę, ale klucze zarządzane przez klienta są często wymagane do spełnienia standardów zgodności z przepisami. Klucze zarządzane przez klienta umożliwiają szyfrowanie danych za pomocą klucza Azure Key Vault utworzonego i należącego do Ciebie. Masz pełną kontrolę i odpowiedzialność za cykl życia klucza, w tym rotację i zarządzanie. | AudytJeśliNieIstnieje, Wyłączony | 1.0.4 |
| Prywatne połączenia punktu końcowego w Azure SQL Database powinny być włączone | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure SQL Database. | Inspekcja, wyłączone | 1.1.0 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MariaDB | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for MariaDB. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym w Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów MySQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for MySQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym w Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Prywatny punkt końcowy powinien być włączony dla serwerów PostgreSQL | Połączenia prywatnych punktów końcowych wymuszają bezpieczną komunikację, umożliwiając łączność prywatną z Azure Database for PostgreSQL. Skonfiguruj połączenie prywatnego punktu końcowego, aby umożliwić dostęp do ruchu pochodzącego tylko ze znanych sieci i uniemożliwić dostęp ze wszystkich innych adresów IP, w tym w Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Public dostęp sieciowy w Azure SQL Database powinien być wyłączony | Wyłączenie właściwości dostępu do sieci publicznej zwiększa bezpieczeństwo, zapewniając dostęp do Azure SQL Database tylko z prywatnego punktu końcowego. Ta konfiguracja odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MariaDB | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do Azure Database for MariaDB można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresowej publicznej poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów MySQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do Azure Database for MySQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja ściśle wyłącza dostęp z dowolnej przestrzeni adresowej publicznej poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Dostęp do sieci publicznej powinien być wyłączony dla serwerów PostgreSQL | Wyłącz właściwość dostępu do sieci publicznej, aby zwiększyć bezpieczeństwo i upewnić się, że dostęp do Azure Database for PostgreSQL można uzyskać tylko z prywatnego punktu końcowego. Ta konfiguracja wyłącza dostęp z dowolnej przestrzeni adresów publicznych poza zakresem adresów IP Azure i odrzuca wszystkie identyfikatory logowania zgodne z regułami zapory opartymi na adresach IP lub sieci wirtualnej. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| dzienniki Resource w magazynie Azure Data Lake powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| dzienniki Resource w obszarach roboczych Azure Databricks powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Resource dzienniki w Azure Kubernetes Service powinny być włączone | dzienniki zasobów Azure Kubernetes Service mogą pomóc w ponownym utworzeniu śladów aktywności podczas badania zdarzeń zabezpieczeń. Włącz tę funkcję, aby upewnić się, że dzienniki będą istnieć w razie potrzeby | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Resource dzienniki w obszarach roboczych Azure Machine Learning powinny być włączone | Dzienniki zasobów umożliwiają ponowne tworzenie śladów aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| dzienniki Resource w Azure Stream Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów na kontach usługi Batch powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Resource dzienniki w Data Lake Analytics powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w centrum zdarzeń powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| dzienniki Resource w IoT Hub powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 3.1.0 |
| Resource dzienniki w Key Vault powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można ponownie utworzyć ślady aktywności do celów badania w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Dzienniki zasobów w usłudze Logic Apps powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.1.0 |
| Dzienniki zasobów w usługa wyszukiwania powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| dzienniki Resource w Service Bus powinny być włączone | Inspekcja włączania dzienników zasobów. Dzięki temu można odtworzyć ślady aktywności do użytku w celach badania; w przypadku wystąpienia zdarzenia zabezpieczeń lub naruszenia zabezpieczeń sieci | AudytJeśliNieIstnieje, Wyłączony | 5.0.0 |
| Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj Role-Based Access Control (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.1.0 |
| Bezpieczny transfer do kont magazynu powinien być włączony | Przeprowadź inspekcję wymagania bezpiecznego transferu na koncie magazynu. Bezpieczny transfer to opcja, która wymusza akceptowanie żądań tylko z bezpiecznych połączeń (HTTPS). Korzystanie z protokołu HTTPS zapewnia uwierzytelnianie między serwerem a usługą i chroni dane przesyłane przed atakami warstwy sieciowej, takimi jak man-in-the-middle, podsłuchiwanie i przejęcie sesji | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Service Fabric klastry powinny mieć właściwość ClusterProtectionLevel ustawioną na Wartość EncryptAndSign | Usługa Fabric zapewnia trzy poziomy ochrony (None, Sign and EncryptAndSign) na potrzeby komunikacji między węzłami przy użyciu certyfikatu podstawowego klastra. Ustaw poziom ochrony, aby upewnić się, że wszystkie komunikaty typu node-to-node są szyfrowane i podpisane cyfrowo | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| klastry Service Fabric powinny używać tylko Azure Active Directory do uwierzytelniania klienta | Inspekcja użycia uwierzytelniania klienta tylko za pośrednictwem Azure Active Directory w usłudze Fabric | Inspekcja, Odmowa, Wyłączone | 1.1.0 |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 4.1.0 |
| Wystąpienia zarządzane SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że agent monitorowania Azure SQL jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie agenta monitorowania Microsoft, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: https://aka.ms/SQLAMAMigration | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Serwery SQL powinny używać kluczy zarządzanych przez klienta do szyfrowania danych magazynowanych | Zaimplementowanie Transparent Data Encryption (TDE) przy użyciu własnego klucza zapewnia większą przejrzystość i kontrolę nad funkcją ochrony TDE, zwiększenie bezpieczeństwa dzięki usłudze zewnętrznej opartej na module HSM oraz podwyższenie poziomu rozdzielenia obowiązków. To zalecenie dotyczy organizacji z powiązanym wymaganiem dotyczącym zgodności. | Inspekcja, Odmowa, Wyłączone | 2.0.1 |
| Serwery SQL z inspekcją miejsca docelowego konta magazynu powinny być skonfigurowane z 90-dniowym przechowywaniem lub wyższym | W celach badania zdarzeń zalecamy ustawienie przechowywania danych dla inspekcji SQL Server do miejsca docelowego konta magazynu na co najmniej 90 dni. Upewnij się, że spełniasz niezbędne reguły przechowywania dla regionów, w których działasz. Czasami jest to wymagane w celu zachowania zgodności ze standardami prawnymi. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Dostęp publiczny do konta magazynu powinien być niedozwolony | Anonimowy publiczny dostęp do odczytu do kontenerów i obiektów blob w Azure Storage jest wygodnym sposobem udostępniania danych, ale może stanowić zagrożenie bezpieczeństwa. Aby zapobiec naruszeniom zabezpieczeń danych spowodowanym niepożądanym dostępem anonimowym, Microsoft zaleca zapobieganie publicznemu dostępowi do konta magazynu, chyba że scenariusz tego wymaga. | inspekcja, inspekcja, odmowa, odmowa, wyłączone, wyłączone | 3.1.1 |
| Konto magazynu należy migrować do nowych zasobów Azure Resource Manager | Użyj nowych Azure Resource Manager dla kont magazynu, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Azure Resource Manager i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, Azure Uwierzytelnianie oparte na usłudze AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego | Wymaganie inspekcji Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji usługa Azure AD zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego i jest zalecana przez Microsoft. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Konta magazynu powinny uniemożliwić dostęp do klucza współużytkowanego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Wymaganie inspekcji Azure Active Directory (Azure AD) w celu autoryzowania żądań dla konta magazynu. Domyślnie żądania mogą być autoryzowane przy użyciu poświadczeń Azure Active Directory lub przy użyciu klucza dostępu konta do autoryzacji klucza współdzielonego. Spośród tych dwóch typów autoryzacji usługa Azure AD zapewnia lepsze zabezpieczenia i łatwość użycia za pośrednictwem klucza współużytkowanego i jest zalecana przez Microsoft. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny ograniczać dostęp sieciowy | Dostęp sieciowy do kont magazynu powinien być ograniczony. Skonfiguruj reguły sieciowe, aby tylko aplikacje z dozwolonych sieci mogły uzyskiwać dostęp do konta magazynu. Aby zezwolić na połączenia z określonych klientów internetowych lub lokalnych, można udzielić dostępu do ruchu z określonych sieci wirtualnych Azure lub do publicznych zakresów adresów IP internetowych | Inspekcja, Odmowa, Wyłączone | 1.1.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.1 |
| Konta magazynu powinny ograniczać dostęp sieciowy przy użyciu reguł sieci wirtualnej (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Chroń konta magazynu przed potencjalnymi zagrożeniami przy użyciu reguł sieci wirtualnej jako preferowanej metody zamiast filtrowania opartego na adresach IP. Wyłączenie filtrowania opartego na adresach IP uniemożliwia publicznym adresom IP uzyskiwanie dostępu do kont magazynu. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Konta magazynu powinny używać klucza zarządzanego przez klienta do szyfrowania | Zabezpieczanie konta obiektu blob i magazynu plików przy użyciu kluczy zarządzanych przez klienta. Gdy określisz klucz zarządzany przez klienta, ten klucz będzie używany w celu ochrony i kontroli dostępu do klucza szyfrującego dane. Użycie kluczy zarządzanych przez klienta zapewnia dodatkowe możliwości kontrolowania rotacji klucza szyfrowania klucza lub kryptograficznie wymazywania danych. | Inspekcja, wyłączone | 1.0.3 |
| Konta magazynu powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Konta magazynu powinny używać łącza prywatnego (z wyłączeniem kont magazynu utworzonych przez usługę Databricks) | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapując prywatne punkty końcowe na konto magazynu, zmniejsza się ryzyko wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem - https://aka.ms/azureprivatelinkoverview | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control (ACL), które zezwalają na ruch sieciowy do podsieci lub odmawiają go. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Synapse Obszary robocze powinny mieć włączone uwierzytelnianie tylko Microsoft Entra | Wymagaj, aby obszary robocze usługi Synapse używały uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują tworzenia obszarów roboczych z włączonym uwierzytelnianiem lokalnym. Uniemożliwia ona włączenie uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Synapse Workspaces powinny używać tylko tożsamości Microsoft Entra do uwierzytelniania podczas tworzenia obszaru roboczego | Wymagaj utworzenia obszarów roboczych usługi Synapse przy użyciu uwierzytelniania tylko Microsoft Entra. Te zasady nie blokują ponownego włączania uwierzytelniania lokalnego w zasobach po utworzeniu. Rozważ użycie inicjatywy "uwierzytelnianie tylko Microsoft Entra", aby wymagać obu tych elementów. Dowiedz się więcej na stronie: https://aka.ms/Synapse. | Inspekcja, Odmowa, Wyłączone | 1.2.0 |
| Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Transparent Data Encryption w bazach danych SQL powinny być włączone | Przezroczyste szyfrowanie danych powinno być włączone, aby chronić dane magazynowane i spełniać wymagania dotyczące zgodności | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Maszyny wirtualne i zestawy skalowania maszyn wirtualnych powinny mieć włączone szyfrowanie na hoście | Użyj szyfrowania na hoście, aby uzyskać kompleksowe szyfrowanie dla maszyny wirtualnej i danych zestawu skalowania maszyn wirtualnych. Szyfrowanie na hoście umożliwia szyfrowanie magazynowanych dysków tymczasowych i pamięci podręcznych dysku systemu operacyjnego/danych. Tymczasowe i efemeryczne dyski systemu operacyjnego są szyfrowane przy użyciu kluczy zarządzanych przez platformę, gdy szyfrowanie na hoście jest włączone. Pamięci podręczne dysku systemu operacyjnego/danych są szyfrowane w spoczynku przy użyciu klucza zarządzanego przez klienta lub zarządzanego przez platformę, w zależności od typu szyfrowania wybranego na dysku. Dowiedz się więcej na https://aka.ms/vm-hbe. | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Maszyny wirtualne powinny zostać zmigrowane do nowych zasobów Azure Resource Manager | Użyj nowych Azure Resource Manager dla maszyn wirtualnych, aby zapewnić ulepszenia zabezpieczeń, takie jak: silniejsza kontrola dostępu (RBAC), lepsza inspekcja, wdrażanie oparte na Azure Resource Manager i ład, dostęp do tożsamości zarządzanych, dostęp do magazynu kluczy dla wpisów tajnych, Azure Uwierzytelnianie oparte na usłudze AD i obsługa tagów i grup zasobów w celu łatwiejszego zarządzania zabezpieczeniami | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Azure maszyny wirtualne w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Szablony konstruktora obrazów maszyny wirtualnej powinny używać łącza prywatnego | Azure Private Link umożliwia połączenie sieci wirtualnej z usługami Azure bez publicznego adresu IP w źródle lub miejscu docelowym. Platforma Private Link obsługuje łączność między konsumentami i usługami za pośrednictwem sieci szkieletowej Azure. Mapowanie prywatnych punktów końcowych na zasoby tworzenia zasobów w narzędziu Image Builder maszyny wirtualnej powoduje zmniejszenie ryzyka wycieku danych. Dowiedz się więcej o linkach prywatnych pod adresem: https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Inspekcja, Wyłączone, Odmowa | 1.1.0 |
| bramy VPN powinny używać tylko uwierzytelniania Azure Active Directory (Azure AD) dla użytkowników punkt-lokacja | Wyłączenie lokalnych metod uwierzytelniania zwiększa bezpieczeństwo, zapewniając, że bramy sieci VPN używają tylko Azure Active Directory tożsamości na potrzeby uwierzytelniania. Dowiedz się więcej o uwierzytelnianiu usługi Azure AD na stronie https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant | Inspekcja, Odmowa, Wyłączone | 1.0.0 |
| ocena Vulnerability powinna być włączona w SQL Managed Instance | Przeprowadź inspekcję poszczególnych SQL Managed Instance, które nie mają włączonych cyklicznych skanów oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Ocena luk w zabezpieczeniach powinna być włączona na serwerach SQL | Przeprowadź inspekcję serwerów Azure SQL, które nie mają prawidłowo skonfigurowanej oceny luk w zabezpieczeniach. Ocena luk w zabezpieczeniach może wykrywać, śledzić i pomagać w korygowaniu potencjalnych luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Web Application Firewall (WAF) należy włączyć dla usługi Application Gateway | Wdróż Azure Web Application Firewall (WAF) przed publicznymi aplikacjami internetowymi w celu dodatkowej inspekcji ruchu przychodzącego. Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach, takimi jak iniekcje SQL, wykonywanie skryptów między witrynami, lokalne i zdalne wykonywanie plików. Możesz również ograniczyć dostęp do aplikacji internetowych według krajów, zakresów adresów IP i innych parametrów http(s) za pośrednictwem reguł niestandardowych. | Inspekcja, Odmowa, Wyłączone | 2.0.0 |
| Windows Defender Exploit Guard powinien być włączony na maszynach | Windows Defender Exploit Guard używa agenta konfiguracji gościa Azure Policy. Funkcja Exploit Guard ma cztery składniki, które są przeznaczone do blokowania urządzeń przed szeroką gamą wektorów ataków i blokowania zachowań często używanych w atakach złośliwego oprogramowania, umożliwiając przedsiębiorstwom równoważenie ryzyka bezpieczeństwa i wymagań dotyczących produktywności (tylko Windows). | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Windows maszyny powinny być skonfigurowane do używania bezpiecznych protokołów komunikacyjnych | Aby chronić prywatność informacji przekazywanych przez Internet, maszyny powinny używać najnowszej wersji standardowego protokołu kryptograficznego Transport Layer Security (TLS). Protokół TLS zabezpiecza komunikację za pośrednictwem sieci przez szyfrowanie połączenia między maszynami. | AudytJeśliNieIstnieje, Wyłączony | 4.1.1 |
| Windows maszyny powinny spełniać wymagania punktu odniesienia zabezpieczeń obliczeń Azure | Wymaga wdrożenia wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. Maszyny są niezgodne, jeśli maszyna nie jest poprawnie skonfigurowana dla jednego z zaleceń w punkcie odniesienia zabezpieczeń obliczeniowych Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.1.1 |
| Windows maszyny wirtualne powinny włączyć Azure Disk Encryption lub EncryptionAtHost. | Mimo że dyski systemu operacyjnego i danych maszyny wirtualnej są domyślnie szyfrowane w spoczynku przy użyciu kluczy zarządzanych przez platformę; dyski zasobów (dyski tymczasowe), pamięci podręczne danych i dane przepływające między zasobami obliczeniowymi i magazynowymi nie są szyfrowane. Użyj Azure Disk Encryption lub EncryptionAtHost, aby skorygować. Odwiedź stronę https://aka.ms/diskencryptioncomparison , aby porównać oferty szyfrowania. Te zasady wymagają wdrożenia dwóch wymagań wstępnych w zakresie przypisania zasad. Aby uzyskać szczegółowe informacje, odwiedź stronę https://aka.ms/gcpol. | AudytJeśliNieIstnieje, Wyłączony | 1.1.1 |
kategoria Microsoft Defender dla Chmury
| Name (portal Azure) |
Description | Effect(s) | Version (GitHub) |
|---|---|---|---|
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie z systemem Linux Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach z systemem Linux Arc, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [Wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej z systemem Linux | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0-preview |
| [wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie Windows Arc | Zainstaluj rozszerzenie ChangeTracking na maszynach Windows Arc, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: rozszerzenie ChangeTracking powinno być zainstalowane na maszynie wirtualnej Windows | Zainstaluj rozszerzenie ChangeTracking na maszynach wirtualnych Windows, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie Azure Defender dla agenta SQL na maszynie wirtualnej | Skonfiguruj maszyny Windows, aby automatycznie instalować Azure Defender dla agenta SQL, na którym zainstalowano agenta Azure Monitor. Usługa Security Center zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Tworzy grupę zasobów i obszar roboczy Log Analytics w tym samym regionie co maszyna. Docelowe maszyny wirtualne muszą znajdować się w obsługiwanej lokalizacji. | DeployIfNotExists, Wyłączone | 1.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 6.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie włączyć bezpieczny rozruch w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Wyłączone | 5.0.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych z systemem Linux w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne z systemem Linux, aby automatycznie instalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 7.1.0-preview |
| [Wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych w celu automatycznego włączania maszyn wirtualnych vTPM | Skonfiguruj obsługiwane maszyny wirtualne, aby automatycznie włączyć maszyny wirtualne vTPM w celu ułatwienia mierzonego rozruchu i innych funkcji zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. | DeployIfNotExists, Wyłączone | 2.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie obsługiwanych zestawów skalowania maszyn wirtualnych Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane Windows zestawy skalowania maszyn wirtualnych, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 4.1.0-preview |
| [wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych Windows do automatycznego włączania bezpiecznego rozruchu | Skonfiguruj obsługiwane maszyny wirtualne Windows w celu automatycznego włączenia bezpiecznego rozruchu w celu ograniczenia ryzyka złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. | DeployIfNotExists, Wyłączone | 3.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie obsługiwanych maszyn wirtualnych Windows w celu automatycznego instalowania rozszerzenia zaświadczania gościa | Skonfiguruj obsługiwane maszyny wirtualne Windows, aby automatycznie instalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 5.1.0-preview |
| [wersja zapoznawcza]: Konfigurowanie maszyn wirtualnych utworzonych przy użyciu obrazów Shared Image Gallery w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj maszyny wirtualne utworzone przy użyciu obrazów Shared Image Gallery, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 2.0.0-preview |
| [wersja zapoznawcza]: Konfigurowanie zestawu skalowania maszyn wirtualnych utworzonych przy użyciu obrazów Shared Image Gallery w celu zainstalowania rozszerzenia zaświadczania gościa | Skonfiguruj zestaw skalowania maszyn wirtualnych utworzony przy użyciu obrazów Shared Image Gallery, aby automatycznie zainstalować rozszerzenie zaświadczania gościa, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Integralność rozruchu jest zaświadczana za pośrednictwem zaświadczania zdalnego. | DeployIfNotExists, Wyłączone | 2.1.0-preview |
| [wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach hybrydowych z systemem Linux | DeployIfNotExists, AuditIfNotExists, Wyłączone | 2.0.1-preview |
| [wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych z systemem Linux | Wdraża agenta Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych z systemem Linux. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 3.0.0-preview |
| [wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach Windows Azure Arc | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach Windows Azure Arc. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 2.0.1-preview |
| [wersja zapoznawcza]: Wdrażanie agenta Ochrona punktu końcowego w usłudze Microsoft Defender na maszynach wirtualnych Windows | Wdraża Ochrona punktu końcowego w usłudze Microsoft Defender na odpowiednich obrazach maszyn wirtualnych Windows. | DeployIfNotExists, AuditIfNotExists, Wyłączone | 2.0.1-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych z systemem Linux, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych z systemem Linux i zaufanych. | AudytJeśliNieIstnieje, Wyłączony | 6.0.0-preview |
| [Wersja zapoznawcza]: Rozszerzenie zaświadczania gościa powinno być zainstalowane w obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych z systemem Linux, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych zestawów skalowania maszyn wirtualnych z systemem Linux i zaufanych uruchomiń. | AudytJeśliNieIstnieje, Wyłączony | 5.1.0-preview |
| [wersja zapoznawcza]: rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych maszynach wirtualnych Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych maszynach wirtualnych, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych maszyn wirtualnych uruchamiania i poufnego Windows. | AudytJeśliNieIstnieje, Wyłączony | 4.0.0-preview |
| [wersja zapoznawcza]: rozszerzenie zaświadczania gościa powinno być zainstalowane na obsługiwanych zestawach skalowania maszyn wirtualnych Windows | Zainstaluj rozszerzenie zaświadczania gościa na obsługiwanych zestawach skalowania maszyn wirtualnych, aby umożliwić Azure Security Center proaktywne potwierdzanie i monitorowanie integralności rozruchu. Po zainstalowaniu integralność rozruchu zostanie zaświadczona za pośrednictwem zaświadczania zdalnego. Ta ocena dotyczy zaufanych uruchomiń i poufnych zestawów skalowania maszyn wirtualnych Windows. | AudytJeśliNieIstnieje, Wyłączony | 3.1.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać tylko podpisanych i zaufanych składników rozruchu | Wszystkie składniki rozruchu systemu operacyjnego (moduł ładujący rozruchu, jądro, sterowniki jądra) muszą być podpisane przez zaufanych wydawców. Defender dla Chmury zidentyfikował niezaufane składniki rozruchu systemu operacyjnego na co najmniej jednej maszynie z systemem Linux. Aby chronić maszyny przed potencjalnie złośliwymi składnikami, dodaj je do listy dozwolonych lub usuń zidentyfikowane składniki. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny wirtualne z systemem Linux powinny używać bezpiecznego rozruchu | Aby chronić przed instalacją zestawów rootkit opartych na złośliwym oprogramowaniu i zestawów rozruchowych, włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych z systemem Linux. Bezpieczny rozruch zapewnia możliwość uruchamiania tylko podpisanych systemów operacyjnych i sterowników. Ta ocena dotyczy tylko maszyn wirtualnych z systemem Linux z zainstalowanym agentem Azure Monitor. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [Wersja zapoznawcza]: Maszyny powinny mieć zamknięte porty, które mogą uwidaczniać wektory ataków | Azure Warunki użytkowania zabraniają korzystania z usług Azure w sposób, który może uszkodzić, wyłączyć, przeciążyć lub osłabić dowolny serwer Microsoft lub sieć. Uwidocznione porty zidentyfikowane przez to zalecenie muszą zostać zamknięte w celu zapewnienia ciągłego zabezpieczeń. W przypadku każdego zidentyfikowanego portu zalecenie zawiera również wyjaśnienie potencjalnego zagrożenia. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [wersja zapoznawcza]: Bezpieczny rozruch powinien być włączony na obsługiwanych maszynach wirtualnych Windows | Włącz bezpieczny rozruch na obsługiwanych maszynach wirtualnych Windows, aby ograniczyć ryzyko złośliwych i nieautoryzowanych zmian w łańcuchu rozruchu. Po włączeniu będzie można uruchamiać tylko zaufane moduły ładujących, jądra i sterowniki jądra. Ta ocena dotyczy zaufanych maszyn wirtualnych uruchamiania i poufnego Windows. | Inspekcja, wyłączone | 4.0.0-preview |
| [Wersja zapoznawcza]: Stan zaświadczania gościa maszyn wirtualnych powinien być w dobrej kondycji | Zaświadczanie gościa jest wykonywane przez wysłanie zaufanego dziennika (TCGLog) do serwera zaświadczania. Serwer używa tych dzienników do określenia, czy składniki rozruchu są wiarygodne. Ta ocena ma na celu wykrywanie kompromisów łańcucha rozruchowego, które mogą być wynikiem infekcji bootkit lub rootkit. Ta ocena dotyczy tylko maszyn wirtualnych z włączoną obsługą zaufanego uruchamiania z zainstalowanym rozszerzeniem zaświadczania gościa. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0-preview |
| [Wersja zapoznawcza]: maszyna wirtualna vTPM powinna być włączona na obsługiwanych maszynach wirtualnych | Włącz wirtualne urządzenie TPM na obsługiwanych maszynach wirtualnych, aby ułatwić mierzony rozruch i inne funkcje zabezpieczeń systemu operacyjnego, które wymagają modułu TPM. Po włączeniu maszyny vTPM mogą służyć do potwierdzania integralności rozruchu. Ta ocena dotyczy tylko zaufanych maszyn wirtualnych z obsługą uruchamiania. | Inspekcja, wyłączone | 2.0.0-preview |
| Dla subskrypcji należy wyznaczyć maksymalnie 3 właścicieli | Zaleca się wyznaczenie maksymalnie 3 właścicieli subskrypcji w celu zmniejszenia potencjalnego naruszenia przez naruszonego właściciela. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Rozwiązanie do oceny luk w zabezpieczeniach powinno być włączone na maszynach wirtualnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy są one uruchamiane obsługiwane rozwiązanie do oceny luk w zabezpieczeniach. Podstawowym składnikiem każdego programu cyberbezpieczeństwa i bezpieczeństwa jest identyfikacja i analiza luk w zabezpieczeniach. warstwa cenowa Azure Security Center obejmuje skanowanie w poszukiwaniu luk w zabezpieczeniach dla maszyn wirtualnych bez dodatkowych kosztów. Ponadto usługa Security Center może automatycznie wdrożyć to narzędzie. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Wszystkie porty sieciowe powinny być ograniczone w sieciowych grupach zabezpieczeń skojarzonych z maszyną wirtualną | Azure Security Center zidentyfikował niektóre reguły ruchu przychodzącego sieciowych grup zabezpieczeń, aby być zbyt permisywne. Reguły ruchu przychodzącego nie powinny zezwalać na dostęp z zakresów "Dowolny" ani "Internet". Może to potencjalnie umożliwić osobom atakującym kierowanie zasobów. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| punkty końcowe API w Azure API Management powinny być uwierzytelniane | Punkty końcowe interfejsu API opublikowane w Azure API Management powinny wymuszać uwierzytelnianie, aby zminimalizować ryzyko bezpieczeństwa. Mechanizmy uwierzytelniania są czasami implementowane niepoprawnie lub brakuje. Dzięki temu osoby atakujące mogą wykorzystywać wady implementacji i uzyskiwać dostęp do danych. Dowiedz się więcej o zagrożeniu interfejsu API OWASP dla uszkodzonego uwierzytelniania użytkowników tutaj: https://learn.microsoft.com/azure/api-management/mitigate-owasp-api-threats#broken-user-authentication | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| API punkty końcowe, które są nieużywane, powinny zostać wyłączone i usunięte z usługi Azure API Management | Najlepszym rozwiązaniem w zakresie zabezpieczeń punkty końcowe interfejsu API, które nie odebrały ruchu przez 30 dni, są uznawane za nieużywane i powinny zostać usunięte z usługi Azure API Management. Utrzymywanie nieużywanych punktów końcowych interfejsu API może stanowić zagrożenie bezpieczeństwa dla organizacji. Mogą to być interfejsy API, które powinny być przestarzałe z usługi Azure API Management, ale mogły zostać przypadkowo pozostawione aktywne. Takie interfejsy API zwykle nie otrzymują najbardziej aktualnego pokrycia zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Przydziel tożsamość przypisaną przez system do usługi SQL Virtual Machines | Przypisz tożsamość przypisaną przez system na dużą skalę do maszyn wirtualnych Windows SQL. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Autoryzowane zakresy adresów IP powinny być zdefiniowane w usługach Kubernetes Services | Ogranicz dostęp do interfejsu API usługi Kubernetes Service Management, udzielając dostępu interfejsu API tylko do adresów IP w określonych zakresach. Zaleca się ograniczenie dostępu do autoryzowanych zakresów adresów IP w celu zapewnienia, że tylko aplikacje z dozwolonych sieci mogą uzyskiwać dostęp do klastra. | Inspekcja, wyłączone | 2.0.1 |
| Azure należy włączyć ochronę przed atakami DDoS | Ochrona przed atakami DDoS powinna być włączona dla wszystkich sieci wirtualnych z podsiecią, która jest częścią bramy aplikacji z publicznym adresem IP. | AudytJeśliNieIstnieje, Wyłączony | 3.0.1 |
| Azure Defender dla usługi App Service należy włączyć | Azure Defender dla usługi App Service wykorzystuje skalę chmury i widoczność, która Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla serwerów Azure SQL Database należy włączyć | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Azure Defender dla Key Vault należy włączyć | Azure Defender dla Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń, wykrywając nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont key vault lub wykorzystania ich. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla relacyjnych baz danych typu open source należy włączyć | Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach Azure Defender dla relacyjnych baz danych typu open source na stronie https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla Resource Manager należy włączyć | Azure Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach Azure Defender dla Resource Manager na stronie https://aka.ms/defender-for-resource-manager . Włączenie tego planu Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla serwerów należy włączyć | Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Azure Defender dla serwerów SQL na maszynach należy włączyć | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Azure Defender dla programu SQL powinny być włączone dla niechronionych serwerów elastycznych MySQL | Inspekcja serwerów elastycznych MySQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure Defender dla programu SQL powinny być włączone dla niechronionych serwerów elastycznych PostgreSQL | Inspekcja serwerów elastycznych PostgreSQL bez usługi Advanced Data Security | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Azure obrazy kontenerów rejestru powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. Rozwiązywanie luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń, zapewniając bezpieczeństwo obrazów przed wdrożeniem. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Azure uruchomione obrazy kontenerów powinny mieć rozwiązane luki w zabezpieczeniach (obsługiwane przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender) | Ocena luk w zabezpieczeniach obrazu kontenera skanuje rejestr pod kątem powszechnie znanych luk w zabezpieczeniach (CVE) i udostępnia szczegółowy raport luk w zabezpieczeniach dla każdego obrazu. To zalecenie zapewnia widoczność narażonych obrazów aktualnie uruchomionych w klastrach Kubernetes. Korygowanie luk w zabezpieczeniach obrazów kontenerów, które są aktualnie uruchomione, ma kluczowe znaczenie dla poprawy stanu zabezpieczeń, co znacznie zmniejsza obszar ataków dla konteneryzowanych obciążeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Blokowane konta z uprawnieniami właściciela do zasobów Azure należy usunąć | Przestarzałe konta z uprawnieniami właściciela powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Blokowane konta z uprawnieniami do odczytu i zapisu w zasobach Azure należy usunąć | Przestarzałe konta powinny zostać usunięte z subskrypcji. Przestarzałe konta to konta, które zostały zablokowane podczas logowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych z systemem Linux | Zainstaluj rozszerzenie ChangeTracking w zestawach skalowania maszyn wirtualnych z systemem Linux, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| rozszerzenie ChangeTracking powinno być zainstalowane w zestawach skalowania maszyn wirtualnych Windows | Zainstaluj rozszerzenie ChangeTracking na zestawach skalowania maszyn wirtualnych Windows, aby włączyć monitorowanie integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i lokalizacjach obsługiwanych przez agenta monitorowania Azure. | AudytJeśliNieIstnieje, Wyłączony | 2.0.1 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) należy skonfigurować bezpiecznie | Chroń wystąpienia ról usługi w chmurze (wsparcie dodatkowe) przed atakami, zapewniając, że nie są one ujawniane żadnym lukom w zabezpieczeniach systemu operacyjnego. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Wystąpienia ról usług Cloud Services (wsparcie dodatkowe) powinny mieć zainstalowane aktualizacje systemu | Zabezpieczanie wystąpień ról usług w chmurze (rozszerzonej pomocy technicznej), zapewniając zainstalowanie na nich najnowszych aktualizacji zabezpieczeń i krytycznych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konfigurowanie Advanced Threat Protection do włączenia na serwerach elastycznych usługi Azure Database for MySQL | Włącz Advanced Threat Protection na serwerach elastycznych usługi Azure Database for MySQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie Advanced Threat Protection do włączenia na serwerach elastycznych usługi Azure database for PostgreSQL | Włącz Advanced Threat Protection na serwerach elastycznych Azure database for PostgreSQL, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania agenta Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta Azure Monitor na serwerach SQL z obsługą usługi Windows Arc. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Wyłączone | 1.3.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania Microsoft Defender dla programu SQL | Skonfiguruj Windows serwery SQL z obsługą usługi Arc, aby automatycznie instalować Microsoft Defender dla agenta SQL. Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). | DeployIfNotExists, Wyłączone | 1.2.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania Microsoft Defender dla usług SQL i DCR przy użyciu obszaru roboczego Log Analytics | Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Wyłączone | 1.6.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc w celu automatycznego instalowania Microsoft Defender dla usług SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy Log Analytics. | DeployIfNotExists, Wyłączone | 1.8.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc za pomocą skojarzenia reguły zbierania danych w celu Microsoft Defender dla usługi SQL DCR | Skonfiguruj skojarzenie między serwerami SQL z obsługą usługi Arc i Microsoft Defender dla usługi SQL DCR. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie serwerów SQL z obsługą usługi Arc z skojarzeniem reguły zbierania danych w celu Microsoft Defender dla zdefiniowanego przez użytkownika kontrolera domeny SQL | Skonfiguruj skojarzenie między serwerami SQL z obsługą usługi Arc i Microsoft Defender dla zdefiniowanego przez użytkownika kontrolera domeny SQL. Usunięcie tego skojarzenia spowoduje przerwanie wykrywania luk w zabezpieczeniach dla tych serwerów SQL z obsługą usługi Arc. | DeployIfNotExists, Wyłączone | 1.3.0 |
| Konfiguruj Azure Defender, aby usługa App Service została włączona | Azure Defender dla usługi App Service wykorzystuje skalę chmury i widoczność, która Azure ma jako dostawcę usług w chmurze, do monitorowania typowych ataków aplikacji internetowych. | DeployIfNotExists, Wyłączone | 1.0.1 |
| Konfiguruj Azure Defender, aby Azure SQL baza danych została włączona | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Wyłączone | 1.0.1 |
| Konfiguruj Azure Defender, aby można było włączyć relacyjne bazy danych typu open source | Azure Defender dla relacyjnych baz danych typu open source wykrywa nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. Dowiedz się więcej o możliwościach Azure Defender dla relacyjnych baz danych typu open source na stronie https://aka.ms/AzDforOpenSourceDBsDocu. Ważne: włączenie tego planu spowoduje naliczanie opłat za ochronę relacyjnych baz danych typu open source. Dowiedz się więcej o cenach na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj Azure Defender, aby Resource Manager można było włączyć | Azure Defender dla Resource Manager automatycznie monitoruje operacje zarządzania zasobami w organizacji. Azure Defender wykrywa zagrożenia i ostrzega o podejrzanych działaniach. Dowiedz się więcej o możliwościach Azure Defender dla Resource Manager na stronie https://aka.ms/defender-for-resource-manager . Włączenie tego planu Azure Defender powoduje naliczanie opłat. Dowiedz się więcej o szczegółach cennika dla regionu na stronie cennika usługi Security Center: https://aka.ms/pricing-security-center . | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfiguruj Azure Defender, aby serwery mogły być włączone | Azure Defender dla serwerów zapewnia ochronę przed zagrożeniami w czasie rzeczywistym dla obciążeń serwera i generuje zalecenia dotyczące wzmacniania zabezpieczeń, a także alerty dotyczące podejrzanych działań. | DeployIfNotExists, Wyłączone | 1.0.1 |
| Konfigurowanie Azure Defender dla serwerów SQL na maszynach, które mają być włączone | Azure Defender dla bazy danych SQL udostępnia funkcje umożliwiające uzyskiwanie i ograniczanie potencjalnych luk w zabezpieczeniach bazy danych, wykrywanie nietypowych działań, które mogą wskazywać zagrożenia dla baz danych SQL oraz odnajdywanie i klasyfikowanie poufnych danych. | DeployIfNotExists, Wyłączone | 1.0.1 |
| Konfiguruj podstawowe Microsoft Defender dla magazynu do włączenia (tylko monitorowanie aktywności) | Microsoft Defender dla usługi Storage zapewnia Azure natywne wykrywanie zagrożeń dla kont magazynu. Te zasady umożliwiają korzystanie z podstawowych funkcji (Monitorowanie aktywności). Aby uzyskać pełną ochronę, w tym skanowanie złośliwego oprogramowania i odnajdywanie poufnych danych, użyj aka.ms/DFStoragePolicy. Aktualizacja wersji głównej: Narzędzie PerTransaction nie jest już obsługiwane w przypadku nowych włączeń po 5 lutego 2025 r. Istniejące konta korzystające z niego pozostają obsługiwane. Dowiedz się więcej: aka.ms/DF-Storage/NewPlanMigration. | DeployIfNotExists, Wyłączone | 2.0.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla maszyn z systemem Linux Arc | Skonfiguruj maszyny z systemem Linux Arc, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.1.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych z systemem Linux | Skonfiguruj zestawy skalowania maszyn wirtualnych z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.1.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych z systemem Linux | Skonfiguruj maszyny wirtualne z systemem Linux, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.2.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla maszyn Windows Arc | Skonfiguruj maszyny Windows Arc, aby automatycznie instalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.1.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla zestawów skalowania maszyn wirtualnych Windows | Skonfiguruj zestawy skalowania maszyn wirtualnych Windows, aby automatycznie zainstalować rozszerzenie ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.1.0 |
| Konfigurowanie rozszerzenia ChangeTracking dla maszyn wirtualnych Windows | Skonfiguruj maszyny wirtualne Windows do automatycznego instalowania rozszerzenia ChangeTracking w celu włączenia monitorowania integralności plików (FIM) w Azure Security Center. Program FIM sprawdza pliki systemu operacyjnego, rejestry Windows, oprogramowanie aplikacji, pliki systemowe systemu Linux i nie tylko pod kątem zmian, które mogą wskazywać na atak. Rozszerzenie można zainstalować na maszynach wirtualnych i w lokalizacjach obsługiwanych przez agenta Azure Monitor. | DeployIfNotExists, Wyłączone | 2.2.0 |
| Konfigurowanie maszyn do odbierania dostawcy oceny luk w zabezpieczeniach | Azure Defender obejmuje skanowanie luk w zabezpieczeniach dla maszyn bez dodatkowych kosztów. Nie potrzebujesz licencji Qualys, a nawet konta Qualys — wszystko jest bezproblemowo obsługiwane w usłudze Security Center. Po włączeniu tych zasad Azure Defender automatycznie wdraża dostawcę oceny luk w zabezpieczeniach Qualys na wszystkich obsługiwanych maszynach, które nie zostały jeszcze zainstalowane. | DeployIfNotExists, Wyłączone | 4.0.0 |
| Konfiguruj plan microsoft CSPM w usłudze Defender | Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM) zapewnia ulepszone możliwości stanu i nowy inteligentny wykres zabezpieczeń chmury, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj CSPM w usłudze Defender microsoft CSPM w usłudze Defender | Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM) zapewnia ulepszone możliwości stanu i nowy inteligentny wykres zabezpieczeń chmury, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | DeployIfNotExists, Wyłączone | 1.0.2 |
| Konfiguruj Microsoft Defender, aby Azure Cosmos DB można było włączyć | Microsoft Defender dla Azure Cosmos DB jest natywną warstwą zabezpieczeń Azure, która wykrywa próby wykorzystania baz danych na kontach Azure Cosmos DB. Defender dla Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na Microsoft Analiza zagrożeń, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości naruszonych lub złośliwych testerów. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj Microsoft Defender dla planu kontenerów | Nowe możliwości są stale dodawane do Defender planu kontenerów, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Wyłączone | 1.5.0 |
| Konfigurowanie Microsoft Defender dla kontenerów do włączenia | Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Azure, hybrydowych i wielochmurowych platform Kubernetes. | DeployIfNotExists, Wyłączone | 1.0.1 |
| Konfiguruj ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender dla Chmury (WDATP_EXCLUDE_LINUX...) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w Microsoft Defender dla Chmury (znanej również jako WDATP_EXCLUDE_LINUX_...), w celu włączenia automatycznej aprowizacji oprogramowania MDE dla serwerów z systemem Linux. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender dla Chmury (WDATP_UNIFIED_SOLUTION) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP_UNIFIED_SOLUTION) w celu włączenia automatycznej aprowizacji programu MDE Unified Agent dla Windows Server 2012R2 i 2016. Aby to ustawienie było stosowane, należy włączyć ustawienie WDATP. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender z Microsoft Defender dla Chmury (WDATP) | Konfiguruje ustawienia integracji Ochrona punktu końcowego w usłudze Microsoft Defender w ramach Microsoft Defender dla Chmury (znanej również jako WDATP) na potrzeby maszyn Windows downlevel dołączanych do rozwiązania MDE za pośrednictwem programu MMA oraz automatycznej aprowizacji mdE w Windows Server 2019 , Windows usługę Virtual Desktop i nowsze. Aby inne ustawienia (WDATP_UNIFIED itp.), muszą być włączone. Zobacz: https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint aby uzyskać więcej informacji. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj Microsoft Defender dla planu Key Vault | Microsoft Defender dla Key Vault zapewnia dodatkową warstwę ochrony i analizy zabezpieczeń, wykrywając nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do kont key vault lub wykorzystania ich. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfiguruj Microsoft Defender dla planu serwerów | Nowe funkcje są stale dodawane do Defender dla serwerów, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfigurowanie Microsoft Defender dla planu serwerów (P1 OR P2) | Gwarantuje, że wybrana Microsoft Defender dla podplanu Serwery (P1 lub P2) jest włączona na poziomie subskrypcji. Te zasady obsługują wybór dynamiczny za pomocą parametrów i wymuszają wdrożenie, jeśli nie zostało jeszcze skonfigurowane. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie Microsoft Defender dla programu SQL do włączenia w obszarach roboczych usługi Synapse | Włącz Microsoft Defender dla programu SQL w obszarach roboczych Azure Synapse, aby wykrywać nietypowe działania wskazujące na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych SQL lub wykorzystania ich. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj Microsoft Defender, aby usługa Storage została włączona | Microsoft Defender dla usługi Storage to natywna Azure warstwa analizy zabezpieczeń, która wykrywa potencjalne zagrożenia dla kont magazynu. Te zasady umożliwią wszystkie Defender dla funkcji magazynu; Monitorowanie działań, skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Aby dowiedzieć się więcej na temat Defender możliwości i korzyści związanych z magazynem, odwiedź stronę aka.ms/DefenderForStorage. | DeployIfNotExists, Wyłączone | 1.5.0 |
| Konfigurowanie ochrony przed zagrożeniami Microsoft Defender dla usług sztucznej inteligencji | Nowe funkcje są stale dodawane do ochrony przed zagrożeniami dla usług sztucznej inteligencji, co może wymagać jawnego włączenia użytkownika. Użyj tych zasad, aby upewnić się, że wszystkie nowe funkcje zostaną włączone. | DeployIfNotExists, Wyłączone | 1.1.0 |
| Konfigurowanie Virtual Machines SQL w celu automatycznego instalowania agenta Azure Monitor | Zautomatyzuj wdrażanie rozszerzenia agenta Azure Monitor w usłudze Windows SQL Virtual Machines. Dowiedz się więcej: https://aka.ms/AMAOverview. | DeployIfNotExists, Wyłączone | 1.6.0 |
| Konfigurowanie Virtual Machines SQL w celu automatycznego instalowania Microsoft Defender dla programu SQL | Skonfiguruj Windows Virtual Machines SQL, aby automatycznie zainstalować Microsoft Defender dla rozszerzenia SQL. Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). | DeployIfNotExists, Wyłączone | 1.6.0 |
| Konfigurowanie Virtual Machines SQL w celu automatycznego instalowania Microsoft Defender dla usług SQL i DCR przy użyciu obszaru roboczego Log Analytics | Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Utwórz grupę zasobów, regułę zbierania danych i obszar roboczy Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Wyłączone | 1.9.0 |
| Konfigurowanie Virtual Machines SQL w celu automatycznego instalowania Microsoft Defender dla usług SQL i DCR przy użyciu zdefiniowanego przez użytkownika obszaru roboczego la | Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Utwórz grupę zasobów i regułę zbierania danych w tym samym regionie co zdefiniowany przez użytkownika obszar roboczy Log Analytics. | DeployIfNotExists, Wyłączone | 1.10.0 |
| Konfigurowanie Virtual Machines SQL w celu automatycznego instalowania Microsoft Defender dla rozszerzenia SQL | Skonfiguruj Windows Virtual Machines SQL, aby automatycznie zainstalować Microsoft Defender dla rozszerzenia SQL. Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konfiguruj Microsoft Defender dla obszaru roboczego Log Analytics SQL | Microsoft Defender dla usługi SQL zbiera zdarzenia od agenta i używa ich do udostępniania alertów zabezpieczeń i dostosowanych zadań wzmacniania zabezpieczeń (zalecenia). Utwórz grupę zasobów i obszar roboczy Log Analytics w tym samym regionie co maszyna. | DeployIfNotExists, Wyłączone | 1.5.0 |
| Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika | Tworzenie i przypisywanie wbudowanej tożsamości zarządzanej przypisanej przez użytkownika na dużą skalę do maszyn wirtualnych SQL. | AudytJeśliNieIstnieje, WdróżJeśliNieIstnieje, Wyłączony | 1.8.0 |
| Deploy — konfigurowanie reguł pomijania dla alertów Azure Security Center | Pomijanie alertów Azure Security Center w celu zmniejszenia zmęczenia alertów przez wdrożenie reguł pomijania w grupie zarządzania lub subskrypcji. | deployIfNotExists | 1.0.0 |
| Deploy export to Event Hub as a trusted service for Microsoft Defender dla Chmury data | Włącz eksportowanie do centrum zdarzeń jako zaufaną usługę Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do centrum zdarzeń jako konfigurację zaufanej usługi z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Deploy export to Event Hub for Microsoft Defender dla Chmury data | Włącz eksportowanie do centrum zdarzeń Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport do konfiguracji centrum zdarzeń z warunkami i docelowym centrum zdarzeń w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.2.0 |
| Deploy export to Log Analytics workspace for Microsoft Defender dla Chmury data | Włącz eksportowanie do Log Analytics obszaru roboczego Microsoft Defender dla Chmury danych. Te zasady wdrażają eksport w celu Log Analytics konfiguracji obszaru roboczego z warunkami i docelowym obszarem roboczym w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 4.1.0 |
| Deploy Workflow Automation for Microsoft Defender dla Chmury alerts | Włącz automatyzację alertów Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender dla Chmury recommendations | Włącz automatyzację zaleceń dotyczących Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Deploy Workflow Automation for Microsoft Defender dla Chmury regulatory compliance | Włącz automatyzację zgodności z przepisami Microsoft Defender dla Chmury. Te zasady wdrażają automatyzację przepływu pracy z warunkami i wyzwalaczami w przypisanym zakresie. Aby wdrożyć te zasady w nowo utworzonych subskrypcjach, otwórz kartę Zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 5.0.1 |
| Powiadomienia e-mail dotyczące alertów o wysokiej ważności powinny być włączone | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, włącz powiadomienia e-mail dla alertów o wysokiej ważności w usłudze Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.2.0 |
| Należy włączyć powiadomienie e-mail właściciela subskrypcji dla alertów o wysokiej ważności | Aby upewnić się, że właściciele subskrypcji są powiadamiani o potencjalnym naruszeniu zabezpieczeń w ramach subskrypcji, ustaw powiadomienia e-mail właścicielom subskrypcji na potrzeby alertów o wysokiej ważności w usłudze Security Center. | AudytJeśliNieIstnieje, Wyłączony | 2.1.0 |
| Enable Microsoft Defender dla Chmury w subskrypcji | Identyfikuje istniejące subskrypcje, które nie są monitorowane przez Microsoft Defender dla Chmury i chroni je za pomocą bezpłatnych funkcji Defender dla Chmury. Subskrypcje już monitorowane będą uznawane za zgodne. Aby zarejestrować nowo utworzone subskrypcje, otwórz kartę zgodność, wybierz odpowiednie niezgodne przypisanie i utwórz zadanie korygowania. | deployIfNotExists | 1.0.1 |
| Automatyczne aprowizowanie agenta usługi Log Analytics Security Center w subskrypcjach przy użyciu niestandardowego obszaru roboczego. | Zezwalaj usłudze Security Center na automatyczną aprowizację agenta Log Analytics w subskrypcjach w celu monitorowania i zbierania danych zabezpieczeń przy użyciu niestandardowego obszaru roboczego. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Automatyczne aprowizowanie agenta usługi Log Analytics Security Center w subskrypcjach przy użyciu domyślnego obszaru roboczego. | Zezwalaj usłudze Security Center na automatyczną aprowizację agenta Log Analytics w ramach subskrypcji w celu monitorowania i zbierania danych zabezpieczeń przy użyciu domyślnego obszaru roboczego usługi ASC. | DeployIfNotExists, Wyłączone | 1.0.0 |
| Włączanie ochrony przed zagrożeniami dla obciążeń sztucznej inteligencji | Microsoft ochrona przed zagrożeniami dla obciążeń sztucznej inteligencji zapewnia kontekstowe alerty zabezpieczeń oparte na dowodach mające na celu ochronę aplikacji generowanych przez sztuczną inteligencję w domu | DeployIfNotExists, Wyłączone | 1.0.0 |
| Konta z uprawnieniami właściciela do zasobów Azure należy usunąć | Konta zewnętrzne z uprawnieniami właściciela powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta z uprawnieniami do odczytu Azure zasobów powinny zostać usunięte | Konta zewnętrzne z uprawnieniami do odczytu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Konta z uprawnieniami do zapisu w zasobach Azure należy usunąć | Konta zewnętrzne z uprawnieniami do zapisu powinny zostać usunięte z subskrypcji, aby zapobiec niemonitorowanemu dostępowi. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Rozszerzenie konfiguracji gościa powinno być zainstalowane na maszynach | Aby zapewnić bezpieczeństwo konfiguracji ustawień gościa maszyny, zainstaluj rozszerzenie Konfiguracja gościa. Ustawienia gościa monitorowane przez rozszerzenie obejmują konfigurację systemu operacyjnego, konfigurację aplikacji lub obecność oraz ustawienia środowiska. Po zainstalowaniu zasady gościa będą dostępne, takie jak "Windows Należy włączyć funkcję Exploit Guard". Dowiedz się więcej na https://aka.ms/gcpol. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Maszyny wirtualne dostępne z Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne przed potencjalnymi zagrożeniami, ograniczając dostęp do nich za pomocą sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Przekazywanie adresów IP na maszynie wirtualnej powinno być wyłączone | Włączenie przekazywania adresów IP na karcie sieciowej maszyny wirtualnej umożliwia maszynie odbieranie ruchu adresowanego do innych miejsc docelowych. Przekazywanie adresów IP jest rzadko wymagane (np. w przypadku korzystania z maszyny wirtualnej jako wirtualnego urządzenia sieciowego), dlatego powinno to zostać przejrzane przez zespół ds. zabezpieczeń sieci. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Usługi Kubernetes Services należy uaktualnić do wersji platformy Kubernetes, która nie jest podatna na zagrożenia | Uaktualnij klaster usługi Kubernetes do nowszej wersji rozwiązania Kubernetes, aby chronić przed znanymi lukami w zabezpieczeniach w bieżącej wersji rozwiązania Kubernetes. Luka w zabezpieczeniach CVE-2019-9946 została poprawiona w wersjach 1.11.9+, 1.12.7+, 1.13.5+i 1.14.0+ | Inspekcja, wyłączone | 1.0.2 |
| Log Analytics agent powinien być zainstalowany w wystąpieniach ról usług Cloud Services (rozszerzonej pomocy technicznej | Usługa Security Center zbiera dane z wystąpień ról usług Cloud Services (rozszerzonej pomocy technicznej) w celu monitorowania pod kątem luk w zabezpieczeniach i zagrożeń. | AudytJeśliNieIstnieje, Wyłączony | 2.0.0 |
| Maszyny powinny mieć rozpoznane wyniki wpisów tajnych | Przeprowadza inspekcję maszyn wirtualnych w celu wykrycia, czy zawierają tajne wyniki rozwiązań do skanowania wpisów tajnych na maszynach wirtualnych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.2 |
| Porty zarządzania maszyn wirtualnych powinny być chronione za pomocą kontroli dostępu do sieci just in time | Możliwy dostęp just in time (JIT) sieci będzie monitorowany przez Azure Security Center zgodnie z zaleceniami | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Porty zarządzania powinny być zamknięte na maszynach wirtualnych | Otwarte porty zarządzania zdalnego uwidaczniają maszynę wirtualną na wysokim poziomie ryzyka związanego z atakami internetowymi. Te ataki próbują wymusić na nich poświadczenia, aby uzyskać dostęp administratora do maszyny. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| W CSPM w usłudze Defender Microsoft powinna być włączona | Defender Zarządzanie stanem zabezpieczeń w chmurze (CSPM) zapewnia ulepszone możliwości stanu i nowy inteligentny wykres zabezpieczeń chmury, który ułatwia identyfikowanie, określanie priorytetów i zmniejszanie ryzyka. CSPM w usłudze Defender jest dostępna oprócz bezpłatnych podstawowych funkcji stanu zabezpieczeń, które są domyślnie włączone w Defender dla Chmury. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla usług AI należy włączyć | Przeprowadź inspekcję, aby sprawdzić, czy Microsoft Defender dla usług AI jest włączona w subskrypcji. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla interfejsów API należy włączyć | Microsoft Defender dla interfejsów API zapewnia nowe funkcje odnajdywania, ochrony, wykrywania i reagowania w celu monitorowania typowych ataków opartych na interfejsie API i błędów konfiguracji zabezpieczeń. | AudytJeśliNieIstnieje, Wyłączony | 1.0.3 |
| Microsoft Defender dla Azure Cosmos DB należy włączyć | Microsoft Defender dla Azure Cosmos DB jest natywną warstwą zabezpieczeń Azure, która wykrywa próby wykorzystania baz danych na kontach Azure Cosmos DB. Defender dla Azure Cosmos DB wykrywa potencjalne wstrzyknięcia kodu SQL, znane złe podmioty oparte na Microsoft Analiza zagrożeń, podejrzane wzorce dostępu i potencjalne wykorzystanie bazy danych za pośrednictwem tożsamości naruszonych lub złośliwych testerów. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla kontenerów należy włączyć | Microsoft Defender for Containers zapewnia ochronę przed zabezpieczeniami, ocenę luk w zabezpieczeniach i ochronę w czasie wykonywania dla środowisk Azure, hybrydowych i wielochmurowych platform Kubernetes. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla programu SQL powinny być włączone dla niechronionych obszarów roboczych usługi Synapse | Włącz Defender dla usługi SQL, aby chronić obszary robocze usługi Synapse. Defender dla usługi SQL monitoruje usługę Synapse SQL w celu wykrywania nietypowych działań wskazujących na nietypowe i potencjalnie szkodliwe próby uzyskania dostępu do baz danych lub wykorzystania ich. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Microsoft Defender dla magazynu należy włączyć | Microsoft Defender dla usługi Storage wykrywa potencjalne zagrożenia dla kont magazynu. Pomaga to zapobiec trzem głównym wpływom na dane i obciążenie: złośliwe przekazywanie plików, eksfiltrację poufnych danych i uszkodzenie danych. Nowy Defender dla planu magazynu obejmuje skanowanie złośliwego oprogramowania i wykrywanie zagrożeń poufnych danych. Ten plan zapewnia również przewidywalną strukturę cenową (na konto magazynu) na potrzeby kontroli nad pokryciem i kosztami. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Maszyny wirtualne bez Internetu powinny być chronione za pomocą sieciowych grup zabezpieczeń | Chroń maszyny wirtualne nienależące do Internetu przed potencjalnymi zagrożeniami, ograniczając dostęp do sieciowych grup zabezpieczeń. Dowiedz się więcej o kontrolowaniu ruchu za pomocą sieciowych grup zabezpieczeń na stronie https://aka.ms/nsg-doc | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Role-Based Access Control (RBAC) należy używać w usługach Kubernetes Services | Aby zapewnić szczegółowe filtrowanie akcji, które użytkownicy mogą wykonywać, użyj Role-Based Access Control (RBAC), aby zarządzać uprawnieniami w klastrach usługi Kubernetes Service i konfigurować odpowiednie zasady autoryzacji. | Inspekcja, wyłączone | 1.1.0 |
| Należy wybrać warstwę cenową Usługi Security Center w warstwie Standardowa | Warstwa cenowa Standardowa umożliwia wykrywanie zagrożeń dla sieci i maszyn wirtualnych, zapewniając analizę zagrożeń, wykrywanie anomalii i analizę zachowań w Azure Security Center | Inspekcja, wyłączone | 1.1.0 |
| Konfigurowanie subskrypcji w celu przejścia do alternatywnego rozwiązania do oceny luk w zabezpieczeniach | Microsoft Defender dla chmury oferuje skanowanie w zabezpieczeniach maszyn bez dodatkowych kosztów. Włączenie tych zasad spowoduje, że Defender dla Chmury automatycznie propagować wyniki z wbudowanego rozwiązania do zarządzania lukami w zabezpieczeniach Microsoft Defender do wszystkich obsługiwanych maszyn. | DeployIfNotExists, Wyłączone | 1.0.0-preview |
| Bazy danych SQL powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Monitoruj wyniki skanowania oceny luk w zabezpieczeniach i zalecenia dotyczące sposobu korygowania luk w zabezpieczeniach bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 4.1.0 |
| Automatyczne aprowizowanie programu SQL Server powinno być włączone dla serwerów SQL w planie maszyn | Aby upewnić się, że maszyny wirtualne SQL i serwery SQL z obsługą usługi Arc są chronione, upewnij się, że agent monitorowania Azure SQL jest skonfigurowany do automatycznego wdrażania. Jest to również konieczne, jeśli wcześniej skonfigurowano automatyczne aprowizowanie agenta monitorowania Microsoft, ponieważ ten składnik jest przestarzały. Dowiedz się więcej: https://aka.ms/SQLAMAMigration | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Serwery SQL na maszynach powinny mieć rozwiązane problemy z lukami w zabezpieczeniach | Ocena luk w zabezpieczeniach SQL skanuje bazę danych pod kątem luk w zabezpieczeniach i ujawnia wszelkie odchylenia od najlepszych rozwiązań, takich jak błędy konfiguracji, nadmierne uprawnienia i niechronione poufne dane. Rozwiązanie znalezionych luk w zabezpieczeniach może znacznie poprawić stan zabezpieczeń bazy danych. | AudytJeśliNieIstnieje, Wyłączony | 1.0.0 |
| Podsieci powinny być skojarzone z sieciową grupą zabezpieczeń | Chroń podsieć przed potencjalnymi zagrożeniami, ograniczając dostęp do niej za pomocą sieciowej grupy zabezpieczeń. Sieciowe grupy zabezpieczeń zawierają listę reguł listy Access Control (ACL), które zezwalają na ruch sieciowy do podsieci lub odmawiają go. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Subskrypcje powinny mieć kontaktowy adres e-mail w przypadku problemów z zabezpieczeniami | Aby upewnić się, że odpowiednie osoby w organizacji są powiadamiane o potencjalnym naruszeniu zabezpieczeń w jednej z Twoich subskrypcji, ustaw kontakt zabezpieczeń, aby otrzymywać powiadomienia e-mail z usługi Security Center. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Aktualizacje systemu powinny być instalowane na maszynach (obsługiwane przez Centrum aktualizacji) | Na maszynach brakuje systemu, zabezpieczeń i aktualizacji krytycznych. Aktualizacje oprogramowania często obejmują krytyczne poprawki do luk w zabezpieczeniach. Takie są często wykorzystywane w atakach złośliwego oprogramowania, dlatego ważne jest, aby oprogramowanie było aktualizowane. Aby zainstalować wszystkie zaległe poprawki i zabezpieczyć maszyny, wykonaj kroki korygowania. | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
| Do subskrypcji powinien być przypisany więcej niż jeden właściciel | Zaleca się wyznaczenie więcej niż jednego właściciela subskrypcji w celu zapewnienia nadmiarowości dostępu administratora. | AudytJeśliNieIstnieje, Wyłączony | 3.0.0 |
| Rozszerzenie Konfiguracji gościa maszyn wirtualnych powinno zostać wdrożone z tożsamością zarządzaną przypisaną przez system | Rozszerzenie Konfiguracja gościa wymaga przypisanej przez system tożsamości zarządzanej. Azure maszyny wirtualne w zakresie tych zasad będą niezgodne, gdy mają zainstalowane rozszerzenie Konfiguracja gościa, ale nie mają przypisanej przez system tożsamości zarządzanej. Dowiedz się więcej na stronie https://aka.ms/gcpol | AudytJeśliNieIstnieje, Wyłączony | 1.0.1 |
Dalsze kroki
W tym artykule przedstawiono definicje zasad zabezpieczeń Azure Policy w Defender dla Chmury. Aby dowiedzieć się więcej na temat inicjatyw, zasad i sposobu ich powiązania z zaleceniami Defender dla Chmury, zobacz Jak są zasady zabezpieczeń, inicjatywy i zalecenia?.